Comments
Description
Transcript
経済産業分野を対象とする個人情報保護に係る制度整備等
平成 27 年度我が国経済社会の情報化・サービス化に係る基盤整備 経済産業分野を対象とする個人情報保護に係る制度整備等調査研究 報告書 平成 28 年 3 月 株式会社野村総合研究所 はじめに(本調査研究の趣旨) 「個人情報の保護に関する法律」 (以下「個人情報保護法」という。)は、その全面施行 から約10年が経過し、この間、個人情報保護制度に係る国民の意識の高まりとともに、 個々の事業者による個人情報保護の取組も進み、 「個人情報の保護に関する法律についての 経済産業分野を対象とするガイドライン」及び「『個人情報の保護に関する法律についての 経済産業分野を対象とするガイドライン』等に関するQ&A」(これら2つを合わせ、以下 「ガイドライン等」という。 )も浸透してきたところである。 その一方で、経済活動のグローバル化の進展や新たなIT技術を用いたサービスの展開 により、我が国の個人情報保護法制が当初想定していなかった、ビジネス領域が拡大して いる。また、依然として社会に多大な不安を与えうる個人情報漏えい事件は後を絶たず、 サイバー攻撃による漏えい事件も顕在化している。 今般、個人情報及びプライバシーの保護を図りつつ、パーソナルデータの利活用を促進 させ、新産業・新サービスの創出と国民の安全・安心の向上等のための利活用を実現する 環境整備を行うべく、第 189 回通常国会において、個人情報の保護に関する法律の改正が 成立したところ。また、諸外国でも、EUの個人情報保護規則の策定や米国のプライバシ ー権利章典の法案化等の個人情報に関連する制度改正・整備の動きが顕著になっている。 このような状況を踏まえ、本調査研究は、事業者による個人情報の適正な取扱いや利活 用推進を支援することを目的とし、ガイドライン等の見直し等を検討したものである。 目 次 はじめに(本調査研究の趣旨) 第 1. ガイドライン見直しに係る検討 ....................................................................... 1 1. 2. 検討会の設置・運営等................................................................................................. 1 1) 委員等の構成 ....................................................................................................... 1 2) 検討の対象テーマ ................................................................................................ 2 3) 検討会の開催概要 ................................................................................................ 3 対象テーマ別の検討結果 ............................................................................................. 4 1) 利用目的の制限の緩和 ......................................................................................... 6 2) 小規模の事業者への対応 ................................................................................... 12 3) 個人情報の定義の明確化 ................................................................................... 41 4) 消去の努力義務 .................................................................................................. 47 5) 開示請求権の明確化 .......................................................................................... 50 6) 個人情報データベース等提供罪等 ..................................................................... 57 7) 要配慮個人情報 .................................................................................................. 61 8) 匿名加工情報 ..................................................................................................... 63 9) 個人情報保護指針 .............................................................................................. 65 10) トレーサビリティの確保 ................................................................................... 66 11) オプトアウト規定の厳格化................................................................................ 68 12) 外国事業者への第三者提供................................................................................ 70 13) 国境を越えた適用等 .......................................................................................... 72 14) クラウドに保存するデータの取扱い ................................................................. 73 3. 今後の検討に向けて .................................................................................................. 75 第 2. 匿名加工情報の作成方法に係る検討 .............................................................. 76 1. 2. 3. ワーキンググループの設置・運営等......................................................................... 76 1) 委員等の構成 ..................................................................................................... 76 2) ワーキンググループの開催概要 ........................................................................ 77 ユースケース別の主な討議内容 ................................................................................ 78 1) 電力利用データ .................................................................................................. 78 2) 購買データ ......................................................................................................... 79 3) 移動データ ......................................................................................................... 80 今後の検討に向けて .................................................................................................. 81 付属資料 1. 委員及びオブザーバから寄せられた個別の意見 2. 今後の検討に向けて(石井委員提出資料) 3. 匿名加工情報の作成に係るガイドライン作成に向けた一次整理 第1. ガイドライン見直しに係る検討 本調査研究では、有識者及び業界団体、関係省庁による検討会を設置し、個人情報保護 法の改正を踏まえて、 「個人情報の保護に関する法律についての経済産業分野を対象とする ガイドライン」及び「 『個人情報の保護に関する法律についての経済産業分野を対象とする ガイドライン』等に関するQ&A」の見直しに係る検討を行い、討議の結果を見直し案等 としてとりまとめた。 1. 検討会の設置・運営等 1) 委員等の構成 検討会の委員等の構成は、以下の通りである。 藤原委員に座長を務めていただいた。 <委員> 石井 夏生利 筑波大学大学院 准教授 菊池 浩明 明治大学 総合数理学部 教授 宍戸 常寿 東京大学大学院 法学政治研究科 教授 新保 史生 慶應義塾大学 総合政策学部 教授 高芝 利仁 高芝法律事務所 弁護士 ◎藤原 靜雄 中央大学法科大学院 教授 古谷 由紀子 (公社)日本消費生活アドバイザー・コンサルタント・相談員協会 松尾 正浩 (株)三菱総合研究所 主席研究員 松岡 萬里野 (一財)日本消費者協会 理事長 森 亮二 弁護士法人英知法律事務所 ◎は座長 <オブザーバ> (一社)情報サービス産業協会(JISA) (一社)新経済連盟 全国商工会連合会 全国中小企業団体中央会 電気事業連合会 (一社)電子情報技術産業協会(JEITA) (一社)日本ガス協会 (一社)日本経済団体連合会 1 弁護士 (一社)日本クレジット協会 (一社)日本自動車販売協会連合会 日本商工会議所 (一財)日本情報経済社会推進協会(JIPDEC) (公社)日本通信販売協会 日本百貨店協会 個人情報保護委員会事務局(平成 28 年 1 月から) 特定個人情報保護委員会総務課(平成 27 年 12 月まで) 内閣官房IT総合戦略室(平成 27 年 12 月まで) 消費者庁消費者制度課個人情報保護推進室 総務省総合通信基盤局電気通信事業部消費者行政課 <事務局> 経済産業省商務情報政策局情報経済課 (株)野村総合研究所 2) 検討の対象テーマ 個人情報保護法の改正に伴ってガイドラインの見直しが必要な次の 14テーマを検討対 象とした。個人情報保護委員会の新設については、本ガイドラインの適用範囲を超えるた め、検討対象には含めていない。また、今後のパーソナルデータの活用や個人情報保護の 課題についてもあわせて議論を行った。 1)利用目的の制限の緩和 2)小規模取扱事業者への対応 3)個人情報の定義の明確化 4)消去の努力義務 5)開示請求権の明確化 6)個人情報データベース等提供罪等 7)要配慮個人情報 8)匿名加工情報 9)個人情報保護指針 10)トレーサビリティの確保 11)オプトアウト規定の厳格化 12)外国事業者への第三者提供 13)国境を越えた適用等 2 14)クラウドに保存するデータの取扱い 3) 検討会の開催概要 検討会は、全体で6回開催した。次図表に、それぞれの検討会の日程及び議題について 整理する。 図表 検討会の開催概要 回・開催日 主な議題 1.検討会の趣旨等について 第1回 2.改正法の全体概要 2015 年 10 月 6 日(火) 3.検討対象テーマと主な論点、進め方 4.利用目的制限の緩和等に係る検討 第2回 2015 年 11 月 2 日(金) 1.第 1 回検討会のご意見を踏まえた今後の進め方 2.利用目的制限の緩和等に係る検討 3.小規模取扱事業者への対応 1.利用目的制限の緩和等に係る検討 第3回 2.小規模取扱事業者への対応 2015 年 11 月 27 日(金) 3.国境を越えた適用等/外国事業者への第三者提供 4.匿名加工情報/個人情報保護指針 1.利用目的制限の緩和等に係る検討 2.小規模取扱事業者への対応 第4回 3.個人情報の定義/要配慮個人情報 2015 年 12 月 21 日(月) 4.トレーサビリティ/オプトアウト 5.その他の論点(クラウド上の個人情報保護、不正競争防止 法等の改正・個人情報データベース等提供罪の新設) 1.本検討会のとりまとめについて 第5回 2.ガイドライン変更(案) 2016 年 2 月 8 日(月) 3.小規模取扱事業者への配慮 4.主な意見のとりまとめ(案) 1.ガイドライン変更案 第6回 2016 年 3 月 8 日(火) 2.Q&A変更案 3.委員及びオブザーバから寄せられた意見(案) 4.匿名加工情報の作成方法 5.今後の検討事項 3 対象テーマ別の検討結果 2. 対象テーマによっては、ガイドラインの見直しは、改正法が委任する政令及び委員会規 則(以下「政省令」という。 )を踏まえて行う必要があるが、本調査期間中に公表されるこ とはなかった。このため、政省令に影響をうけないテーマについては、ガイドライン変更 案をとりまとめ、影響を受けるテーマについては、委員・オブザーバの意見をとりまとめ ることを基本として、検討結果を整理した。また、Q&A について、見直しが必要な項目を 取り上げて整理した。 図表 テーマ毎の検討結果のとりまとめ項目 テーマ 1)利用目的の 政令 - 委員会規則 - ・ ガイドライン変更案 ・ Q&A 変更案 制限の緩和 2)小規模取扱 とりまとめ項目 - - ・ ガイドライン変更案 事業者への対 ・ Q&A 変更案 応 ・ 委員・オブザーバの意見 3)個人情報の 「個人識別符 定義の明確化 号」を定める。 - ・ ガイドライン変更案(政 令に関わりのない範囲) ・ 委員・オブザーバの意見 4)消去の努力 - - ・ ガイドライン変更案 - - ・ ガイドライン変更案 - - ・ ガイドライン変更案 義務 5)開示請求権 の明確化 6)個人情報デ ・ Q&A 変更案 ータベース等 提供罪等 7)要配慮個人 「要配慮個人情 - ・ 委員・オブザーバの意見 情報 報」を定める。 8)匿名加工情 「匿名加工情報 匿名加工情報の作成 ・ 委員・オブザーバの意見 報 データベース」 の基準、漏えい防止の (匿名加工情報の加工方 を定める。 ための基準、匿名加工 法に関するものを除く 情報の項目の公表方 法を定める。 4 テーマ 9)個人情報保 政令 - 護指針 10)トレーサ 委員会規則 とりまとめ項目 指針の届出・公表につ ・ 委員・オブザーバの意見 いて定める。 - 第三者提供の際の提 ビリティの確 供者・受領者の記録事 保 項、記録方法、提供に ・ 委員・オブザーバの意見 係る情報の保存期間、 受領者の確認方法を 定める。 11)オプトア - ウト規定の厳 通知又は公表方法に ・ 委員・オブザーバの意見 ついて定める。 格化 12)外国事業 - 我が国と同等の保護 者への第三者 水準を要している国 提供 を定める。 ・ 委員・オブザーバの意見 移転が認められる事 業者体制に係る適合 基準を定める。 13)国境を越 - - ・ 委員・オブザーバの意見 - - ・ Q&A の変更案(参考) えた適用等 14)クラウド に保存するデ ータの取扱い 以下では、検討テーマ別の検討結果について述べる 5 1) 利用目的の制限の緩和 (1) 検討の概要 条文から「相当の」が削除され、変更前の利用目的と関連性を有すると合理的に認めら れる範囲が拡大された。しかしそもそも何に着目して関連性の有無を捉えるのか、その観 点が不明確であったため、本検討会においては関連性を勘案するための主だった観点の掲 出を行った。 検討においては関連性を勘案するための主だった観点として、本人にとってのメリット や公共性も含めるべきとの意見が挙がったが、そうした観点は各人の主観によって多分に 左右されることや、既にその一部が法 16 条第 3 項各号において利用目的制限の適用除外と して認められていることから、 「相当の」が削除されたことにより範囲を確定し得る観点の みを選定した。 (2) 検討の結果 ガイドライン変更案と Q&A 変更案をとりまとめた。 〇ガイドライン変更案 ガイドライン変更案を、現行ガイドラインと対照表の様式で次に示す。 6 ガイドライン変更案 現行ガイドライン (2)利用目的の変更(法第15条第2項、法第18条第3項関連) (2)利用目的の変更(法第15条第2項、法第18条第3項関連) 法第15条第2項 法第15条第2項 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用目的と 関連性を有すると合理的に認められる範囲を超えて行ってはならない。 個人情報取扱事業者は、利用目的を変更する場合には、変更前の利用 目的と相当の関連性を有すると合理的に認められる範囲を超えて行って はならない。 法第18条第3項 法第18条第3項 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用目的に ついて、本人に通知し、又は公表しなければならない。 個人情報取扱事業者は、利用目的を変更した場合は、変更された利用 目的について、本人に通知し、又は公表しなければならない。 上記 (1)により特定した利用目的は、社会通念上、本人が想定することが困難 上記 (1)により特定した利用目的は、社会通念上、本人が想定することが でないと認められる範囲内で変更することは可能である。変更された利用目的は、 困難でないと認められる範囲内で変更することは可能である。変更された 本人に通知※1するか、又は公表※2しなければならない。 利用目的は、本人に通知※1するか、又は公表※2しなければならない。 なお、本人が想定することが困難であると認められる変更を行う場合は、法第 なお、本人が想定することが困難であると認められる変更を行う場合 は、法第16条に従って本人の同意を得なければならない。 16条に従って本人の同意を得なければならない。 ※1「本人に通知」については、2-1-7.参照。 ※1「本人に通知」については、2-1-7.参照。 ※2「公表」については、2-1-8.参照。 ※2「公表」については、2-1-8.参照。 *本人が想定することが困難でないと認められる範囲の考え方 *本人が想定することが困難でないと認められる範囲内の基準 変更された利用目的が、本人が想定することが困難でないと認められる範囲内 に該当するか否かは、本人の立場から当該利用目的が、当初特定した利用目的と 利用目的で示した個人情報を取り扱う事業の範囲を超えての変更は、あ らかじめ本人の同意なく行うことはできない。 どの程度の関連性を有するか総合的に勘案して判断されるもので、必ずしも同一 利用目的において、一連の個人情報の取扱いの典型を具体性をもって示 の事業の範囲内に限定するものではない。関連性を勘案する主だった観点は次に していた場合は、その典型例から推測できる範囲内で変更することができ 7 ガイドライン変更案 現行ガイドライン 掲げる通りであるが、以下に限定するものではない。 る。 (関連性を勘案するための主だった観点) ・事業者が提供する商品・サービス ・個人情報の利用の態様 なお、変更された利用目的が関連性を有するか勘案する対象は当初特定した利 用目的であり、利用目的の変更を繰り返すことで、当初特定した利用目的と関連 性を有しない場合は、あらかじめ本人の同意なく変更を行うことはできない。 また、利用目的の変更にあたっては個別の事例に応じ、消費者への配慮とし て、分かりやすい十分な説明や本人からの求めに応じた利用の停止(オプトアウ ト)の対応、暗号化措置を講じることが望ましい。ただし、そうした措置をとる ことで、利用目的の変更可能な範囲が拡大するものではないことに、事業者は留 意することが求められる。 【本人が想定することが困難でないと認められる範囲内に該当する事例】 事業者が提供する商品・サービスが関連性を有するかは具体例も踏まえ、個別 の事案ごとに判断されるものである。 【本人が想定することが困難でないと認められる範囲内に該当する事例】 事例1) 「当社の運営する○○技術者試験の受験者情報のデータベース登録」と 事例)「当社の行う○○事業における新商品・サービスに関する情報のお した利用目的において「○○技術者試験結果の受験者宛通知」を利用目的 知らせ」とした利用目的において「既存の商品・サービスに関す に追加すること。 る情報のお知らせ」を追加すること。 事例2) 「当社の提供する新商品・サービスに関する情報のお知らせ」とした 利用目的において「既存の関連商品・サービスに関する情報のお知らせ」 を追加すること。 事例3)「当社の提供する既存の商品・サービスに関する情報のお知らせ」と した利用目的において「新規に提供を行う関連商品・サービスに関する 情報のお知らせ」を追加すること。 8 ガイドライン変更案 現行ガイドライン <具体例> フィットネスクラブの運営事業者が、会員向けにレッスンやプログラムの 開催情報をメール配信する目的で個人情報を保有していたところ、同じ情 報を用いて新たに始めた栄養指導サービスの案内を配信する。 <解説> 新たに始めた「栄養指導サービス」は、会員が当該事業者に期待する健 康サービスと関連性があり、会員にとって、想定することが困難でないと 認められる範囲にあると考えられる。 事例4)「当社の提供する商品○○の配達先登録」とした利用目的において「関 連商品△△の案内」を利用目的に追加すること。 <具体例> 和食店が、顧客から出前料理の注文を受け付けた際の情報を用いて、後日、 当該顧客に対し、和風お節料理の案内を行う。 <解説> 和食店が案内する「和風お節料理」はケータリングサービスにおける品 揃えの一部として提供している他の商品・サービスであり、顧客にとって、 想定することが困難でないと認められる範囲にあると考えられる。 事例5) 「当社の行う既存の商品・サービスの提供」とした利用目的において 「新規に提供を行う関連商品・サービスに関する情報のお知らせ」を追 加すること。 <具体例> 防犯目的で警備員が駆けつけるサービスの提供のため個人情報を保有し ていた事業者が、事業拡大に伴い始めた「高齢者見守りサービス」につい て、既存顧客に当該サービスを案内するためのダイレクトメールを配信す る。 9 ガイドライン変更案 現行ガイドライン <解説> 「高齢者見守りサービス」は顧客に安全を提供するサービスである点で 変更前のサービスと関連性を有しており、顧客にとって、想定することが 困難でないと認められる範囲にあると考えられる。 事例6) 「当社の行う商品・サービスの提供」とした利用目的において「当社の 提携先が提供する関連商品・サービスに関する情報のお知らせ」を追加 すること。 <具体例> 住宅用太陽光発電システムを販売した事業者が、対象の顧客に対して、提 携先である電力会社の自然エネルギー買い取りサービスを紹介すること。 <解説> 「発電機器の販売」と「発電した電力の買い取りサービス」とは、顧客 にとって、想定することが困難でないと認められる範囲にあると考えられ る。 事例7) 「当社の行う商品・サービスの提供」とした利用目的において「関連の 商品・サービスの研究開発」を追加すること。 <具体例> 電力会社が、顧客に省エネを促す目的で、家庭内の機器ごとの電力使用状 況を収集し、その使用量等を分析して顧客に提示していたところ、同じ情 報を用いて、省エネに資する家電制御技術の研究開発を行う。 <解説> 「省エネ目的の電力使用量の分析」と「省エネに資する家電制御技術の研 究開発」とは、顧客にとって、想定することが困難でないと認められる範 囲にあると考えられる。 10 ○ Q&A 変更案 現行の Q&A 48 は設問・回答ともに削除が必要である。 Q A 当初の利用目的が変更となったためその旨を 利用目的の範囲に含まれない商品告知等を 通知する際、利用目的の範囲に含まれない商 することはできません。利用目的の達成に必 品告知等も併せて同封することは問題はない 要な範囲を超える利用は、事前に本人の同意 のですか。 が必要となります。 (2005.1.14) (3) その他(課題等) ガイドライン変更案で掲げている「関連性を勘案するための主だった観点」は議論を重 ね選定したものであるが、依然やや抽象的で読み手となる事業者が自身の業務実態に置き 換えて考えづらいとして、議論の深化、観点のより具体化が求められるとの意見が委員・ オブザーバから寄せられた。 11 2) 小規模の事業者への対応 (1) 検討の概要 法改正によって、旧個人情報保護法第 2 条第 3 項第 5 号に規定されていた、個人情報取 扱事業者からの適用除外が削除された。これにより、「取り扱う個人情報の量及び利用方法 からみて個人の権利利益を害するおそれが少ない者」、つまり、政令第 2 条における「事業 の用に供する個人情報データベース等を構成する個人情報によって識別される特定の個人 の数の合計が過去 6 カ月以内のいずれの日においても 5,000 人を超えない者」も、個人情 報取扱事業者として扱われることとなった。 一方で、これらの適用除外対象だった事業者への配慮として、個人情報保護法改正に併 せて、附則 11 条で「この法律の施行により旧個人情報保護法第 2 条第 3 項第 5 号に掲げる 者が新たに個人情報取扱事業者になることに鑑み,特に小規模の事業者の事業活動が円滑 に行われるよう配慮するものとする」とされたことに鑑み、ガイドラインの改正を検討し た。 検討においては、法改正に基づき、機械的に修正すべき個所に係る対応についてはガイ ドライン変更案を策定した。一方で、そもそも附則 11 条で言う「小規模の事業者」とはど のような事業者であるのかといった定義そのもの、具体的にどのような点において、どの ような配慮がなされるべきであるか、といった観点における検討については検討を行い、 意見を取りまとめた。特に、具体的な対応が求められる、安全管理措置、従業者の監督、 委託先の監督については議論を行った。 (2) 検討の結果 ガイドライン変更案、Q&A 変更案、委員・オブザーバの意見をとりまとめた。 ○ ガイドライン変更案 以下では、最初に、法改正に対応したガイドライン変更案を掲載している。 続いて、小規模の事業者が戸惑うことなく事業活動を継続するためには、特に安全管理措 置等については、より分かりやすい言葉で、かつ、小規模の事業者でもリスク及び事業形 態に応じた“望ましい対応方策”を示すことが必要である。既に現行のガイドラインでも 安全管理措置について「望ましい手法の例」として具体的な対応例が挙げられているが、 この対応例を基に、より分かりやすい用語・言い回しを用い、かつ、小規模の事業者であ っても相対的に理解や対応がしやすい具体例を整理した試案を掲載する。 但し、この試案については、検討会では十分な議論を行う時間が無かったため、検討会 に提示した試案として精査されたわけでもなければ、委員やオブザーバの意見を十分に反 映したものになっているわけではなく、議論のためのたたき台であることについては十分 に留意が必要である。 12 ガイドライン変更案 現行ガイドライン 2-2-3-2.安全管理措置(法第20条関連) 2-2-3-2.安全管理措置(法第20条関連) 法第20条 法第20条 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損 損の防止その他の個人データの安全管理のために必要かつ適切な措置を講 の防止その他の個人データの安全管理のために必要かつ適切な措置を講じ じなければならない。 なければならない。 附則第11条 個人情報保護委員会は,新個人情報保護法第 8 条に規定する事業者等が 講ずべき措置の適切かつ有効な実施を図るための指針を策定するに当たっ ては,この法律の施行により旧個人情報保護法第 2 条第 3 項第 5 号に掲げ る者が新たに個人情報取扱事業者になることに鑑み,特に小規模の事業者 の事業活動が円滑に行われるよう配慮するものとする。 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損 個人情報取扱事業者は、その取り扱う個人データの漏えい、滅失又はき損 の防止その他の個人データの安全管理のため、組織的、人的、物理的及び技 の防止その他の個人データの安全管理のため、組織的、人的、物理的及び技 術的な安全管理措置を講じなければならない(2-1-4.「*電話帳、カーナビ 術的な安全管理措置を講じなければならない(2-1-4.「*電話帳、カーナビゲ ゲーションシステム等の取扱いについて」の場合を除く。)。その際、本人の ーションシステム等の取扱いについて」の場合を除く。)。その際、本人の個 個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵 人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害 害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリ の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因するリス スクに応じ、必要かつ適切な措置を講じるものとする。その際には、特に、 クに応じ、必要かつ適切な措置を講じるものとする。その際には、特に、中 中小企業者(中小企業基本法(昭和38年法律第154号)第2条第1項各 小企業者(中小企業基本法(昭和38年法律第154号)第2条第1項各号 号に掲げる中小企業者をいう。以下同じ。 )においては、事業の規模及び実 に掲げる中小企業者をいう。以下同じ。 )においては、事業の規模及び実態、 態、取り扱う個人データの性質及び量等に応じた措置を講じることが望まし 取り扱う個人データの性質及び量等に応じた措置を講じることが望ましい。 い。また、個人データを記録した媒体の性質に応じた安全管理措置を講じる また、個人データを記録した媒体の性質に応じた安全管理措置を講じること 13 ガイドライン変更案 現行ガイドライン ことが望ましい。 が望ましい。 さらに、附則第11条では、個人情報保護委員会は、平成 27 年の法改正 により、旧個人情報保護法第 2 条第 3 項第 5 号に掲げる者が新たに個人情報 取扱事業者になることに鑑み、特に小規模の事業者の事業活動が円滑に行わ れるよう配慮するものとされている。この趣旨に鑑み、特に小規模の事業者 については、事業の規模及び実態、取り扱う個人データの性質及び量や主に 個人データの記録・管理の態様等に応じた措置を講じることが望ましい。 なお、本ガイドラインで「望ましい」と記載されている規定については、 事業規模・リスク等を勘案しつつ選択的に実施するものとする。 また、クレジットカード情報については、別添の「クレジットカード情報 なお、クレジットカード情報については、別添の「クレジットカード情報 を含む個人情報の取扱いについて」に掲げられた措置を講じることが望まし を含む個人情報の取扱いについて」に掲げられた措置を講じることが望まし い。 い。 14 ガイドライン変更案 現行ガイドライン 2-2-3-3.従業者の監督(法第21条関連) 2-2-3-3.従業者の監督(法第21条関連) 法第21条 法第21条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当た 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっ っては、当該個人データの安全管理が図られるよう、当該従業者に対する ては、当該個人データの安全管理が図られるよう、当該従業者に対する必要 必要かつ適切な監督を行わなければならない。 かつ適切な監督を行わなければならない。 個人情報取扱事業者は、法第20条に基づく安全管理措置を遵守させるよ 個人情報取扱事業者は、法第20条に基づく安全管理措置を遵守させるよ う、従業者に対し必要かつ適切な監督をしなければならない(2-1-4.「*電 う、従業者に対し必要かつ適切な監督をしなければならない(2-1-4.「*電話 話帳、カーナビゲーションシステム等の取扱いについて」の場合を除く。 ) 。 帳、カーナビゲーションシステム等の取扱いについて」の場合を除く。 )。その その際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被 際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利 る権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況 利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因 等に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。また、 するリスクに応じ、必要かつ適切な措置を講じるものとする。また、特に、中 特に、中小企業者においては、事業の規模及び実態、取り扱う個人データの 小企業者においては、事業の規模及び実態、取り扱う個人データの性質及び量 性質及び量等に応じた措置を講じることが望ましい。 等に応じた措置を講じることが望ましい。 さらに、附則第11条では、個人情報保護委員会は、平成 27 年の法改正 により、旧個人情報保護法第 2 条第 3 項第 5 号に掲げる者が新たに個人情報 取扱事業者になることに鑑み、特に小規模の事業者の事業活動が円滑に行わ れるよう配慮するものとされている。この趣旨に鑑み、特に小規模の事業者 については、事業の規模及び実態、取り扱う個人データの性質及び量や主に 個人データの記録・管理の態様等に応じた措置を講じることが望ましい。 なお、本ガイドラインで「望ましい」と記載されている規定については、 事業規模・リスク等を勘案しつつ選択的に実施するものとする。 また、 「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に なお、「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事 事業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係 業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係にあ 15 ガイドライン変更案 現行ガイドライン にある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員 る従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等)の 等)のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含ま みならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。 れる。 16 ガイドライン変更案 2-2-3-4.委託先の監督(法第22条関連) 現行ガイドライン 2-2-3-4.委託先の監督(法第22条関連) 法第21条 法第21条 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっ 個人情報取扱事業者は、その従業者に個人データを取り扱わせるに当たっ ては、当該個人データの安全管理が図られるよう、当該従業者に対する必要 ては、当該個人データの安全管理が図られるよう、当該従業者に対する必要 かつ適切な監督を行わなければならない。 かつ適切な監督を行わなければならない。 個人情報取扱事業者は、法第20条に基づく安全管理措置を遵守させるよ 個人情報取扱事業者は、法第20条に基づく安全管理措置を遵守させるよ う、従業者に対し必要かつ適切な監督をしなければならない(2-1-4.「*電話 う、従業者に対し必要かつ適切な監督をしなければならない(2-1-4.「*電話 帳、カーナビゲーションシステム等の取扱いについて」の場合を除く。)。そ 帳、カーナビゲーションシステム等の取扱いについて」の場合を除く。) 。その の際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る 際、本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利 権利利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等 利益の侵害の大きさを考慮し、事業の性質及び個人データの取扱状況等に起因 に起因するリスクに応じ、必要かつ適切な措置を講じるものとする。また、 するリスクに応じ、必要かつ適切な措置を講じるものとする。また、特に、中 特に、中小企業者においては、事業の規模及び実態、取り扱う個人データの 小企業者においては、事業の規模及び実態、取り扱う個人データの性質及び量 性質及び量等に応じた措置を講じることが望ましい。 等に応じた措置を講じることが望ましい。 さらに、附則第11条では、個人情報保護委員会は、平成 27 年の法改正に より、旧個人情報保護法第 2 条第 3 項第 5 号に掲げる者が新たに個人情報取 扱事業者になることに鑑み、特に小規模の事業者の事業活動が円滑に行われ るよう配慮するものとされている。この趣旨に鑑み、特に小規模の事業者に ついては、事業の規模及び実態、取り扱う個人データの性質及び量や主に個 人データの記録・管理の態様等に応じた措置を講じることが望ましい。 なお、本ガイドラインで「望ましい」と記載されている規定については、 事業規模・リスク等を勘案しつつ選択的に実施するものとする。 また、 「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事 なお、 「従業者」とは、個人情報取扱事業者の組織内にあって直接間接に事 17 ガイドライン変更案 現行ガイドライン 業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係に 業者の指揮監督を受けて事業者の業務に従事している者をいい、雇用関係に ある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等) ある従業員(正社員、契約社員、嘱託社員、パート社員、アルバイト社員等) のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。 のみならず、取締役、執行役、理事、監査役、監事、派遣社員等も含まれる。 18 ■安全管理措置として小規模の事業者が実施すべき手法の例(試案) 既述のように、以下はあくまで検討会における議論のたたき台とするための試案として作成したものであり、検討会で十分な時間をかけて検討したり、検討会に おける委員やオブザーバの意見を反映した内容になっているわけではないことに留意が必要である。 以下の図表の「講じなければならない項目」及び「左記項目を実践するために講じることが望ましい手法の例」は、現行のガイドラインの記載内容であり、その 内容に対応して、一番右列の「小規模の事業者が実践することが望ましい手法(案) 」を整理している。 (組織的安全管理措置) 講じなければ ならない項目 ①個人データの安全 管理措置を講じるた めの組織体制の整備 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) ・従業者の役割・責任の明確化 ①個人データの取扱いと安全管理措置に関する責任者の明確化 *個人データの安全管理に関する従業者の役割・責任を職務分 掌規程、職務権限規程等の内部規程、契約書、職務記述書等 に具体的に定めることが望ましい。 *実効性を以て指示し、責任を負うことができる者が責任者と なることが望ましい。 ②個人データ取扱いを行う従業者の限定 ・個人データの安全管理の実施及び運用に関する責任及び権限を有 する者として、個人情報保護管理者(いわゆる、チーフ・プライ バシー・オフィサー(CPO))の設置し、原則として、役員を任命 すること *個人データを取り扱う従業者を、業務遂行上、必要最小限の 範囲に限定することが望ましい ③安全管理措置の考え方・方法にそぐわないような個人データの取 り扱いが行われている場合には、責任者に迅速に報告・相談する ・個人データの取扱いを総括する部署の設置、及び個人情報保護管 理者(CPO)が責任者となり、社内の個人データの取扱いを監督 する「管理委員会」の設置 ことについて従業者に徹底すること ④個人データの漏えい等(漏えい、滅失又はき損)の事故が発生し た場合、又は発生の可能性が高いと判断した場合の、データ取扱 ・個人データの取扱い(取得・入力、移送・送信、利用・加工、保 管・バックアップ、消去・廃棄等の作業)における作業責任者の 設置及び作業担当者の限定 責任者への報告連絡体制の整備及び従業者への周知の徹底 *朝礼や社内連絡(紙媒体・メール等)で、繰り返し意識づけ を行う等の対応を行うことが望ましい。 ・個人データを取り扱う情報システム運用責任者の設置及び担当者 (システム管理者を含む。 )の限定 *なお、漏えい等の事故発生時の対応については、⑤を参照す ること。 19 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) ・個人データの取扱いにかかわるそれぞれの部署の役割と責任の明 確化 ・監査責任者の設置 ・個人情報保護対策及び最新の技術動向を踏まえた情報セキュリテ ィ対策に十分な知見を有する者が社内の対応を確認すること(必 要に応じ、外部の知見を有する者を活用し確認することを含む) などによる、監査実施体制の整備 ・個人データの取扱いに関する規程等に違反している事実又は兆候 があることに気づいた場合の、代表者等への報告連絡体制の整備 ・個人データの漏えい等(漏えい、滅失又はき損)の事故が発生し た場合、又は発生の可能性が高いと判断した場合の、代表者等へ の報告連絡体制の整備 *個人データの漏えい等についての情報は代表窓口、苦情処理 窓口を通じ、外部からもたらされる場合もあるため、苦情の 処理体制等との連携を図ることが望ましい(法第 35 条を参 照) 。 ・漏えい等の事故による影響を受ける可能性のある本人への情報提 供体制の整備 ・漏えい等の事故発生時における個人情報保護委員会及び認定個人 情報保護団体等に対する報告体制の整備 ②個人データの安全 ・個人データの取扱いに関する規程等の整備とそれらに従った運用 個人データの取り扱いの流れ(取得・入力、利用・加工、保管・バ 管理措置を定める規 ・個人データを取り扱う情報システムの安全管理措置に関する規程 ックアップ、消去・廃棄、漏えい等の事故時の対応等)に従って、 程等の整備と規程等 等の整備とそれらに従った運用 取扱のルールが何らかの形で明確化されており、そのルールに従っ に従った運用 *なお、これらについてのより詳細な記載事項については、下 20 た運用を行うこと 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) 記の【個人データの取扱いに関する規程等への記載事項の 例】を参照。 *規程又は取扱いのルールを記載したマニュアル・業務フロー 等を作成することが理想的であるが、形態や方法に関わら ・個人データの取扱いに係る建物、部屋、保管庫等の安全管理に関 する規程等の整備とそれらに従った運用 ず、取扱いのルールを何らかの形で明確化しておくことが望 ましい。 ・個人データの取扱いを委託する場合における委託先の選定基準、 *また、ルールに従った運用が行われているかどうかチェッ 委託契約書のひな型、委託先における委託した個人データの取扱 ク・見直しを行ったことを示すための証跡が一定程緒度保持 状況を確認するためのチェックリスト等の整備とそれらに従っ されていると望ましい。(特殊な書式の整備やシステムの導 た運用 入等までは不要であるが、チェック・見直しを行うに際して ・定められた規程等に従って業務手続が適切に行われたことを示す 監査証跡(※)の保持 作成・利用したメールやメモ、社内会議の議事録等を意識的 に残しておくことが望ましい) (※)保持しておくことが望まれる監査証跡としては、個人デ ータに関する情報システム利用申請書、ある従業者に特別 な権限を付与するための権限付与申請書、情報システム上 の利用者とその権限の一覧表、建物等への入退館(室)記 録、個人データへのアクセスの記録(例えば、だれがどの ような操作を行ったかの記録)、教育受講者一覧表等が考 えられる。 ③個人データの取扱 ・個人データについて、取得する項目、明示・公表等を行った利用 ①個人データについて、取得する項目、明示・公表等を行った利用 い状況を一覧できる 目的、保管場所、保管方法、アクセス権限を有する者、利用期限、 目的、保管場所、保管方法、アクセス権限を有する者、利用期限、 手段の整備 その他個人データの適正な取扱いに必要な情報を記した個人デ その他個人データの適正な取扱いに必要な情報を記した個人デ ータ取扱台帳の整備 ータ取扱いに係る記録の整備 ・個人データ取扱台帳の内容の定期的な確認による最新状態の維持 ②個人データ取扱に係る記録の内容の定期的な確認による最新状 態の維持 *①で記載された項目に関して、一定の記録を残しておくことが 21 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) 望ましい。 *事業の態様や、利用目的の実現のために必要な範囲、さらには 当該個人データの最新性の担保の必要性にも配慮しながら、定 期的に最新性を担保するための取組みを行うことが望ましい。 ④個人データの安全 管理措置の評価、見直 し及び改善 ・監査計画の立案と、計画に基づく監査(内部監査又は外部監査) 個人データの取扱状況に関するチェック・見直しの実施 の実施 *定期的に(例えば年 1 回程度)、個人データの取扱が法令及び ・監査実施結果の取りまとめと、代表者への報告 本ガイドラインに従っているかどうかを確認すること等が考 ・監査責任者から受ける監査報告、個人データに対する社会通念の えられる。 変化及び情報技術の進歩に応じた定期的な安全管理措置の見直 し及び改善 ⑤事故又は違反への 以下の(ア)~(カ)家順の整備 個人データの漏えい等(漏えい、滅失又はき損)の事故が発生した 適切な対処 (ア)事実調査、原因の究明 場合、又は発生の可能性が高いと判断した場合の、個人データの取 事実関係を調査し、その原因究明にあたる。 扱いに関する責任者への報告連絡体制の整備及び従業者への周知 (イ)影響範囲の特定 の徹底 ①により把握した事実関係による影響がどれほど及ぶのか、そ の範囲を特定する。 *なお、実際に漏えい等の事故等が発生した場合には、小規模事 業者であっても、左記(ア)~(カ)の趣旨を理解し、適切な (ウ)再発防止策の検討・実施 対応を実施することが望ましい。 (ア)により究明した原因を踏まえ、再発防止策を検討し、速 やかに実施する。 (エ)影響を受ける可能性のある本人への連絡等 二次被害の防止、類似事案の発生回避等の観点から、事実関係 等について、速やかに、本人へ連絡し、又は本人が容易に知り得 る状態に置くことが望ましい(※1) 。 22 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) (オ)主務大臣等への報告 a.個人情報取扱事業者が認定個人情報保護団体の対象事業者の 場合 認定個人情報保護団体の業務の対象となる個人情報取扱事業 者(以下「対象事業者」という。)は、経済産業大臣(主務 大臣)への報告に代えて、自己が所属する認定個人情報保護 団体に報告を行うことができる。認定個人情報保護団体は、 対象事業者の事故又は違反の概況を経済産業省に定期的に 報告する。 ただし、以下の場合は、経済産業大臣(主務大臣)に、逐次速 やかに報告を行うことが望ましい。 ・機微にわたる個人データ( (a)思想、信条又は宗教に関する 事項、(b)人種、民族、門地、本籍地(所在都道府県に関す る情報のみの場合を除く。 )、身体・精神障害、犯罪歴その他 社会的差別の原因となる事項、(c)勤労者の団結権、団体交 渉その他団体行動の行為に関する事項、(d)集団示威行為へ の参加、請願権の行使その他の政治的権利の行使に関する事 項、(e)保健医療又は性生活に関する事項等)を漏えいした 場合 ・信用情報、クレジットカード番号等を含む個人データが漏え いした場合であって、二次被害が発生する可能性が高い場合 ・同一事業者において漏えい等の事故(特に同種事案)が繰り 返し発生した場合 ・その他認定個人情報保護団体が必要と考える場合 23 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) b.個人情報取扱事業者が認定個人情報保護団体の対象事業者で ない場合 経済産業大臣(主務大臣)に報告を行う。 c.関係機関への報告 認定個人情報保護団体の対象事業者であるか否かにかかわら ず、主務大臣に報告するほか、所属する業界団体等の関係機関 に報告を行うことが望ましい。 なお、a.及びb.のいずれの場合も、事業者は次の事例に ついて、認定個人情報保護団体又は主務大臣への報告を月に一 回ごとにまとめて実施することができる。 ・ファクシミリやメールの誤送信(宛名及び送信者名以外に 個人情報が含まれていない場合に限る。) 。なお、内容物に個人 情報が含まれない荷物等の宅配又は郵送を委託したところ、誤 配によって宛名に記載された個人データが第三者に開示された 場合については、報告する必要はない(2-2-3-2.【安全管理措 置の義務違反とはならない事例(従業者の監督及び委託先の監 督の義務違反ともならない場合)】参照) 。 (オ)事実関係、再発防止策等の公表 二次被害の防止、類似事案の発生回避等の観点から、事実関係 及び再発防止策等について、速やかに、公表することが望ましい (※4) 。 (※1)ただし、例えば、以下のように、本人の権利利益が実質的 に侵害されておらず、今後も権利利益の侵害の可能性がない又 24 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) は極めて小さいと考えられる場合には、本人への連絡等を省略 しても構わないものと考えられる。 ・漏えい等した個人データを、第三者に見られることなく、 速やかに回収した場合 ・高度な暗号化等の秘匿化が施されている場合(ただし、認 定個人情報保護団体への報告の際、漏えい等をした事業者 以外では特定の個人を識別することができないものと判 断できる措置内容を具体的に報告することが望ましい。 ) ・漏えい等をした事業者以外では、特定の個人を識別するこ とができない場合(例えば、事業者が所有する個人データ と照合することによって、初めて個人データとなる場合。 ただし、報告の際、漏えい等をした事業者以外では特定の 個人を識別することができないものと判断できる措置内 容を具体的に報告することが望ましい。 ) (※2)次のような事例については、個人情報取扱事業者から認定 個人情報保護団体への報告、又は、認定個人情報保護団体への 報告は、月に 1 回程度ごとにまとめて実施することができる。 ・FAX やメールの誤送信(宛名及び送信者名以外に個人情 報が含まれていない場合に限る。) なお、内容物に個人情報が含まれない荷物等の宅配又は郵送 を委託したところ、誤配によって宛名に記載された個人データ が第三者に開示された場合については、報告する必要はない。 (※3)認定個人情報保護団体の対象事業者であるか否かに関わら 25 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) ず、関連業界内での再発防止等の観点から、所属する業界団体 等の関係機関に報告を行うことも望ましい。 (※4)ただし、例えば、以下のように、二次被害の防止の観点か ら公表の必要性がない場合には、事実関係等の公表を省略して も構わないものと考えられる。なお、そのような場合も、類似 事案の発生回避の観点から、同業種間等で、当該事案に関する 情報が共有されることが望ましい。 ・影響を受ける可能性のある本人全てに連絡がついた場合 ・その他、上記(※1)に掲げる場合 26 (人的安全管理措置) 講じなければ ならない項目 ①雇用契約時における 従業者との非開示契 約の締結、及び委託 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) ・従業者の採用時又は委託契約時における非開示契約の締結 *雇用契約又は委託契約等における非開示条項は、契約終了後 も一定期間有効であるようにすることが望ましい。 従業者の採用時等において個人情報保護に係る取決めを確認した 上で雇用契約を締結すること *雇用契約等において個人情報保護に係る条項を設けることが 契約等(派遣契約を *個人情報に関する非開示の義務を、就業規則等の社内規程に より望ましいが、個人情報保護に関して確実に遵守して欲し 含む。 )における委託 規定することも考えられる。なお、社内規程に個人情報に関 いことなどを簡潔にまとめた別紙を作成して採用時に説明す 元と委託先間での非 する非開示の義務を規定する場合には、特に、労働基準法第 る等の方策も考えられる。 開示契約の締結等 89 条及び第 90 条などの労働関連法規を遵守する必要があ る。 *個人情報に関する非開示契約の締結の際に、営業秘密を対象 とする秘密保持契約をあわせて締結する場合であっても、個 人情報保護と営業秘密の保護はその目的・範囲等が異なるた め、従業者の「納得感」の向上の観点からは、個人情報保護 に関する契約と営業秘密に関する秘密保持契約は峻別する (別書面であるか否かは問わない)ことが望ましい。 ・非開示契約に違反した場合の措置に関する規程の整備 *個人データを取り扱う従業者ではないが、個人データを保有 する建物等に立ち入る可能性がある者、個人データを取り扱 う情報システムにアクセスする可能性がある者についても アクセス可能な関係者の範囲及びアクセス条件について契 約書等に明記することが望ましい。なお、個人データを取り 扱う従業者以外の者には、情報システムの開発・保守関係者、 清掃担当者、警備員等が含まれる。 27 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) ②従業者に対する内部 ・個人データ及び情報システムの安全管理に関する従業者の役割及 ①従業者に対する、個人データの取扱に関する法令、自社ルール 規程等の周知・教育・ 訓練の実施 び責任を定めた内部規程等についての周知 等についての周知 ・個人データ及び情報システムの安全管理に関する従業者の役割及 び責任についての教育・訓練の実施 ②個人データの安全管理措置に関する従業者の役割及び責任につ いての教育・訓練の実施 ・従業者に対する必要かつ適切な教育・訓練が実施されていること の確認 *①、②とも、自社の個人データの取り扱いの現状やルールに ついては、社内打ち合わせや朝礼等で周知する機会を設ける 等の取り組みが望ましい。一方で、一般的な法令の内容や漏 えい等の事例や具体的な対策の方法などは、Web 上における 情報を活用したり、外部のセミナー等に参加するなどの取り 組みを行うことが望ましい。 ③従業者に対する必要かつ適切な教育・訓練が実施されているこ との確認 28 (物理的安全管理措置) 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) ①入退館(室)管理の ・入退館(室)の記録 個人データを取り扱うことのできる従業者以外が容易に個人デー 実施 ・個人データを取り扱う業務の、入退館(室)管理を実施している タを見たり触れたりできる執務状況において個人データを取り扱 物理的に保護された室内での実施 う作業を行わないような配慮を行うことが望ましい。 ・個人データを取り扱う情報システム等の、入退館(室)管理を実 施している物理的に保護された室内等への設置 *例えば、別室又は仕切り等を設けた空間で作業を行う、作業時 に第三者を入室させない又は付近に立ち入らせない、個人デー タを取り扱った従業者や取扱いのタイミングで執務エリアに 居た者の記録を残す等の手法が考えられる。 ②盗難等の防止 ・個人データを記した書類、媒体、携帯可能なコンピュータ等の机 上及び車内等への放置の禁止 ①個人データを記した書類、媒体、携帯可能なコンピュータ等の机 上及び車内への放置の禁止 ・離席時のパスワード付きスクリーンセイバー等の起動によるのぞ き見等の防止 ②離席時のパスワード付スクリーンセイバー等の起動によるのぞ き見等の防止 ・個人データを含む媒体の施錠保管 ③個人データを含む媒体の施錠管理 ・氏名、住所、メールアドレス等を記載した個人データとそれ以外 ④業務上許可を得ていない記録機能を持つ媒体及び機器の持ち込 の個人データの分離保管 み及び持ち出しの禁止と、違反時の適切な指示・指導の実施(ス ・個人データを取り扱う情報システムの操作マニュアルの机上等へ の放置の禁止 マートフォン、パソコン等の記録機能を有する機器の制限及び機 器の更新への対応を含む) ・入退館(室)の際における業務上許可を得ていない記録機能を持 つ媒体及び機器の持ち込み及び持ち出しの禁止と検査の実施(ス マートフォン、パソコン等の記録機能を有する機器の接続の制限 及び機器の更新への対応を含む。) ・カメラによる撮影や作業への立ち会い等による記録又はモニタリ ングの実施 29 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) ③機器・装置等の物理 個人データを取り扱う機器・装置等の、安全管理上の脅威(例えば、 盗難等の防止措置のほか、個人データを取り扱う機器・装置等が破 的な保護 盗難、破壊、破損)や環境上の脅威(例えば、漏水、火災、停電) 損・火災・漏水等の被害に遭わないよう、設置場所や保管方法・態 からの物理的な保護 様等に留意する。 *例えば、火器等を扱う場所や、コンピューターが水に弱いこと から湿度の高すぎる場所に置かない等の対応、重い荷物等が落 下するような危険のある場所には置かない、施錠できる、耐震 措置が施された棚に格納するなどの対応が考えられる。 30 (技術的安全管理措置) 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) ①個人データへのア ・個人データに対する正当なアクセスであることを確認するために ①個人データに対する正当なアクセスであることを確認するため クセスにおける識別 正当なアクセス権限を有する者であることの識別と認証(例え に正当なアクセス権限を有する者であることの識別と認証を実 と認証 ば、ID とパスワードによる認証、ワンタイムパスワードによる 施することが望ましい。 認証、物理的に所持が必要な認証デバイス(ICカード等)によ る認証、生体認証等)の実施 *例えば、ID とパスワードによる認証等を実施することが望 ましい。 *識別と認証においては、複数の手法を組み合わせて実現する ことが望ましい。 *ID とパスワードを利用する場合には、パスワードの有効期限 の設定、同一又は類似パスワードの再利用の制限、最低パス *ID とパスワードを利用する場合には、パスワードの有効期 限の設定、同一又は類似パスワードの再利用の制限、最低パ スワード文字数の設定、一定回数以上ログインに失敗した ID を停止する等の措置を講じることが望ましい。 *生体認証を利用する場合には、当該識別と認証の方法を実施 するために必要な情報(例えば、指紋、静脈)が、特定の個 ワード文字数の設定、一定回数以上ログインに失敗した ID を 停止する等の措置を講じることが望ましい。 ②個人データへのアクセス権限を有する者が使用できる端末又は アドレス等の識別と認証(例えば、MAC アドレス認証、IP アド レス認証、電子証明書等)の実施 *個人データを取り扱うことのできる端 末を、業務遂行上、 人を識別することができることから、個人情報に該当する場 必要な範囲に限定することが望ましく、利用に際しては識別 合があることに留意する。 と認証を行うことが望ましい。 ・個人データへのアクセス権限を有する者が使用できる端末又はア ドレス等の識別と認証(例えば、MAC アドレス認証、IP アドレ ス認証、電子証明書等)の実施 ②個人データへのア ・個人データへのアクセス権限を付与すべき者の最小化 クセス制御 ・識別に基づいたアクセス制御(パスワード設定をしたファイルが だれでもアクセスできる状態は、アクセス制御はされているが、 識別がされていないことになる。このような場合には、パスワー 31 ①個人データへのアクセス権限を付与すべき者・端末の最小化と権 限の最小化 *個人データを取り扱うことのできる従業者及び端末は限定す ることが望ましい。 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) ドを知っている者が特定され、かつ、アクセスを許可する者に変 *個人データにアクセスできる従業者に対し、個人データに対 更があるたびに、適切にパスワードを変更する必要がある。)の する全ての権限を認めてしまうのではなく、当該従業者が行 実施 って良い処置・対応等については口頭・書面等で明確化する ・アクセス権限を有する者に付与する権限の最小化 ことが望ましい。 ・個人データを格納した情報システムへの同時利用者数の制限 ・個人データを格納した情報システムの利用時間の制限(例えば、 休業日や業務時間外等の時間帯には情報システムにアクセスで きないようにする等) ②個人データへのアクセス制御(個人データの含まれるファイル等 へのパスワードの設定等を含む) *個人データの保管場所の鍵や、個人データが含まれるファイ ル等のパスワードを、個人データを取り扱うことのできる従 ・個人データを格納した情報システムへの無権限アクセスからの保 護(例えば、ファイアウォール、ルータ等の設定) 業者のみで共有することが考えられる。 ③個人データを格納した情報システムへの無権限アクセスからの *個人データを格納するためのデータベースを構成要素に含 保護(例えば、ファイアウォール、ルータ等の設定) む情報システムを構築する場合には、当該情報システム自体 *個人データを格納するためのデータベースを構成要素に含 へのアクセス制御に加えて、情報システムの構成要素である む情報システムを構築する場合には、当該情報システム自体 データベースへのアクセス制御を別に実施し、それぞれにア へのアクセス制御に加えて、情報システムの構成要素である クセス権限を設定することが望ましい。 データベースへのアクセス制御を別に実施し、それぞれにア *アクセス権限の設定を情報システム全体と別に実施する場 クセス権限を設定することが望ましい。 合にあっては、無権限アクセスからの保護に係る機器等の設 *アクセス権限の設定を情報システム全体と別に実施する場 定として、特に不要アカウントの無効化や初期設定されてい 合にあっては、無権限アクセスからの保護に係る機器等の設 る標準アカウントのパスワード変更を実施することが望ま 定として、特に不要アカウントの無効化や初期設定されてい しい。 る標準アカウントのパスワード変更を実施することが望まし ・個人データにアクセス可能なアプリケーションの無権限利用の防 止(例えば、アプリケーションシステムに認証システムを実装す る、業務上必要となる者が利用するコンピュータのみに必要なア プリケーションシステムをインストールする、業務上必要な機能 32 い。 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) のみメニューに表示させる等) *情報システムの特権ユーザーであっても、情報システムの管 理上個人データの内容を知らなくてもよいのであれば、個人 データへ直接アクセスできないようにアクセス制御をする ことが望ましい。 *特権ユーザーに対するアクセス制御については、例えば、ト ラステッドOSやセキュアOS、アクセス制御機能を実現す る製品等の利用が考えられる。 ・個人データを取り扱う情報システムに導入したアクセス制御機能 の有効性の検証(例えば、OS・ウェブアプリケーションのぜい 弱性有無の検証) なお、この項目の典型的手法としては、ファイアウォール、ルー タ、サーバ等の適切な設定がある。 ③個人データへのア クセス権限の管理 ・個人データにアクセスできる者を許可する権限管理の適切かつ定 期的な実施(例えば、定期的に個人データにアクセスする者の登 録を行う作業担当者が適当であることを十分に審査し、その者だ けが、登録等の作業を行えるようにする。) 個人データにアクセスできる者を許可する権限管理の適切かつ定 期的な実施 *年に1度程度は、個人データにアクセスできる者が業務内容に 照らして適切か、交代の必要はないかなどの確認と見直しを *個人データにアクセスできる者を許可する権限については、 情報システム内において当該権限を含む管理者権限を分割 する等して、不正利用を防止することが望ましい。 ・個人データを取り扱う情報システムへの必要最小限のアクセス制 御の実施 33 行うことが望ましい。 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) ④個人データへのア ・個人データへのアクセスや操作の成功と失敗の記録及び不正が疑 個人データへのアクセスについては、個人データを保管しているフ クセスの記録 われる異常な記録の存否の定期的な確認 ォルダやアプリケーションにアクセス履歴記録機能がある場合に *個人データへのアクセスや操作の成功と失敗の記録につい は同機能を活用することが望ましい。 ては、情報システムを構成する各システムへのアクセスや操 作の成功と失敗等の記録を組み合わせ、各個人データへのア クセスや操作の失敗を全体として記録することが考えられ る。 ・採取した記録の漏えい、滅失及びき損からの適切な保護 *採取した記録を漏えい、滅失及びき損から保護するために は、当該記録を適切に管理された外部記録媒体ないしログ収 集用のサーバ等に速やかに移動することが望ましい。 *システム管理者等の特権ユーザーのアクセス権限を用いて も、採取した記録を改ざん・不正消去できないよう、対策す ることが望ましい。 *個人データを取り扱う情報システムの記録が個人情報に該 当する場合があることに留意する。 ⑤個人データを取り ・ウイルス対策ソフトウェアの導入及び当該ソフトウェアの有効 ①ウイルス対策ソフトウェアの導入及び当該ソフトウェアの有効 扱う情報システムに 性・安定性の確認(例えば、パターンファイルや修正ソフトウェ 性・安定性の確認(例えば、パターンファイルや修正ソフトウェ ついて不正ソフトウ アの更新の確認) アの更新の確認) ェア対策 ・端末及びサーバ等のオペレーティングシステム(OS)、ミドルウ ②端末及びサーバ等のオペレーティングシステム(OS)、ミドルウ ェア(DBMS 等) 、アプリケーション等に対するセキュリティ対策 ェア(DBMS 等) 、アプリケーション等に対するセキュリティ対策 用修正ソフトウェア(いわゆる、セキュリティパッチ)の適用 用修正ソフトウェア(いわゆる、セキュリティパッチ)の適用 ・組織で許可していないソフトウェアの導入防止のための対策 34 ③組織で許可していないソフトウェアの導入防止のための対策 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) ⑥個人データの移送 ・個人データの移送時における紛失・盗難に備えるための対策(例 メール等により個人データの含まれるファイルを送信する場合や、 (運搬、郵送、宅配便 えば、媒体に保管されている個人データの暗号化等の秘匿化) 記録媒体(USB 等)に個人データの含まれるファイルを保存して移 ・盗聴される可能性のあるネットワーク(例えば、インターネット 送する場合における、当該ファイルへのパスワードの設定、暗号化 等) ・送信時の対策 や無線 LAN 等)による個人データの送信(例えば、本人及び従業 等の秘匿化 者による入力やアクセス、メールに添付してファイルを送信する 等を含むデータの転送等)時における、個人データの暗号化等の 秘匿化(例えば、SSL、S/MIME 等) *暗号を利用する場合には、復元に必要な鍵についても十分注 意して管理する必要がある。 ⑦個人データを取り ・情報システムの動作確認時のテストデータとして個人データを利 情報システムを構築・利用している場合には、以下の対応を行うこ 扱う情報システムの 用することの禁止(正確な動作確認を要する等、個人データの利 とが望ましい。 動作確認時の対策 用が不可欠な場合であっても、動作確認に影響のない範囲で、個 ①情報システムの動作確認時のテストデータとして個人データを 人データの一部を他のデータに置き換える等の措置を講じるこ 利用することの禁止(正確な動作確認を要する等、個人データの とが考えられる。 ) 利用が不可欠な場合であっても、動作確認に影響のない範囲で、 個人データの一部を他のデータに置き換える等の措置を講じる ことが考えられる。 ) ・情報システムの変更時に、それらの変更によって情報システム又 は運用環境のセキュリティが損なわれないことの検証 ②情報システムの変更時に、それらの変更によって情報システム又 は運用環境のセキュリティが損なわれないことの検証 ⑧個人データを取り ・個人データを取り扱う情報システムの使用状況の定期的な監 視 情報システムを構築・利用している場合には、定期的に、以下の対 扱う情報システムの ・個人データへのアクセス状況(操作内容も含む。 )の監視 応を行うことが望ましい。 監視 *個人データを取り扱う情報システムを監視した結果の記録 が個人情報に該当する場合があることに留意する。 *特権ユーザーによる個人データへのアクセス状況について は、特に注意して監視することが望ましい。 ①個人データを取り扱う情報システムの使用状況の定期的な監視 ②個人データへのアクセス状況(操作内容も含む。 )の監視 *個人データを取り扱う情報システムを監視した結果の記録 が個人情報に該当する場合があることに留意する。 35 講じなければ ならない項目 左記項目を実践するために 講じることが望ましい手法の例 小規模の事業者が 実践することが望ましい手法(案) *特権ユーザーによる個人データへのアクセス状況について ・個人データを取り扱う情報システムへの外部からのアクセス状況 の監視(例えば、IDS・IPS 等) は、特に注意して監視することが望ましい。 ③個人データを取り扱う情報システムへの外部からのアクセス状 *監視システムを利用する場合には、事業者等が業務で行う送 受信の実態に合わせ、当該装置について適切に設定し、定期 的にその動作を確認することが必要になる。 況の監視(例えば、IDS・IPS 等) *監視システムを利用する場合には、事業者等が業務で行う送 受信の実態に合わせ、当該装置について適切に設定し、定期 的にその動作を確認することが必要になる。 36 ガイドライン変更案 現行ガイドライン 1.目的及び適用範囲 1.目的及び適用範囲 (前略) (前略) 本ガイドラインは、経済産業分野における事業者等のうち、法が適用対象とす 本ガイドラインは、経済産業分野における事業者等のうち、法が適用対象とす る個人情報取扱事業者(※2-1-3 参照。 )に該当する事業者等を対象として適用 る個人情報取扱事業者(※2-1-3 参照。)に該当する事業者等を対象として適用 する。 する。 また、経済産業分野において個人情報取扱事業者でない事業者等について また、経済産業分野において個人情報取扱事業者でない事業者等についても、 も、 「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきもの 「個人情報は、個人の人格尊重の理念の下に慎重に取り扱われるべきものであ であることにかんがみ、その適正な取扱いが図られなければならない。」 (法第 ることにかんがみ、その適正な取扱いが図られなければならない。」 (法第3条) 3条)という法の基本理念を踏まえ、このガイドラインに規定されている事項 という法の基本理念を踏まえ、このガイドラインに規定されている事項を遵守 を遵守することが望ましい。 することが望ましい。 37 ○ Q&A 変更案 主に、保有個人情報件数が 5,000 件未満の事業者を「個人情報取扱事業者」とす る前提の上で記載されている Q&A については設問・回答ともに削除した。 現行の Q&A 24 は設問・回答ともに削除が必要 Q A 社員のデータベースしか持っていない場合 社員の情報も個人情報に該当しますので、社 は、個人情報取扱事業者とならないと考えて 員が5000人を超える場合には、個人情報取 よいですか。 扱事業者となり得ます。 (2004.10.19/2005.7.28 最終修正) 現行の Q&A 27 は設問・回答ともに削除が必要 Q A フランチャイズ本部が5000人を超える個人デ 加盟店は、本部とは別法人格ですので、個人 ータを有している場合、加盟店は、5000人以 情報取扱事業者に該当しません。ただし、当 下の個人データしか有していないときでも、個 該加盟店が、本部の保有している個人情報デ 人情報取扱事業者に該当しますか。 ータベース等を事業の用に供しているような場 合には、個人情報取扱事業者に該当します。 (2007.3.30) ○ 委員・オブザーバの意見 既述のように、附則 11 条で求められている「小規模の事業者への配慮」について、小 規模の事業者とはどのような事業者を意味するのか、配慮とは具体的にどのようなこと を言うのか、従来、保有個人情報件数が 5,000 件未満で適用除外となっていた事業者が 求める配慮とはどのようなものか、といった観点から意見が寄せられた。加えて、法改 正で新たに個人情報取扱事業者になる事業者には周知や分かりやすい説明が必須だとす る周知の重要性に関する意見も聞かれた。 また、小規模の事業者が将来的にバランスのとれた個人情報の活用と保護を実現して いくために、小規模の事業者や事業特性に合わせた行為規範の策定の必要性や、負担な く実施できる簡易な PIA などの必要性に係る指摘も聞かれた。 39 以下、委員やオブザーバから寄せられた意見を提示する。 「小規模の事業者」の定義 ・附則 11 条における「小規模の事業者」の定義を明確にすべき。 (例:従業者の個人情報 を除いて要配慮個人情報を取り扱わず、かつ、5,000 件以下の個人データしか保有しない 事業者を小規模の事業者という。 ) 小規模の事業者への配慮のあり方 ・小規模の事業者向けガイドラインを通常のガイドラインと明確に分離した形で策定して はどうか。 ・現行ガイドラインの「講じなければならない」事項については、一部の小規模の事業者 にとっては必須で対応を求めなくて良いものもあるのではないかという観点から検討す べき。例えば“組織的安全管理措置”については全て小規模の事業者に対応を求めなく ても良いのではないか。 ・現行のガイドラインの“望まれる手法の例示”について、小規模の事業者にとっては、 リスク及び事業規模に応じた負担を勘案しながら、選べばよい“選択肢”であることに ついて明文化すべきではないか。 ・安全管理措置以外についても小規模の事業者に配慮すべき事項があるのではないか。 (例:通知や公表、開示請求への対応、トレーサビリティなど) 小規模の事業者に対する周知の重要性 ・改正法の周知が非常に重要である。全国で説明会・研修会を手厚く実施し、かつ、チェ ックリスト等を配布するなどの取り組みが必要ある。 小規模の事業者が個人情報を利活用するために望ましい中長期的な取組み ・中期的な課題として以下の方向性が考えられるのではないか。 ア)将来的な課題として、簡易 PIA により自分でリスクチェックができるような環境 整備が必要ではないか。 イ)業界内で小規模の事業者向けに自主的に行動規範を策定するための環境整備が必 要ではないか。 (3) その他(課題等) 附則 11 条でいう「小規模の事業者」の定義の明確化や、配慮の具体的な内容などは今後 の検討に委ねられた。小規模の事業者が委縮することなく個人情報の利用と保護のバラン スを実現していくためには、わかりやすく、企業規模や業務特性、個人情報のリスクに応 じた具体的な対応策を示していくことが望まれる。 40 3) 個人情報の定義の明確化 (1) 検討の概要 法改正によって、個人識別符号という新たな概念が加わったことに関連して、どのよう なものが個人識別符号に含まれるのか否か、という論点を中心に議論が行われた。特に、 サービス提供のための ID などについては様々な意見が寄せられた。いずれにしても、個人 識別符号の定義について、できるだけ具体的に分かりやすいものにしてほしいという意見 が少なからず聞かれた。但し、ガイドライン変更の前提となる政令・規則事項が未公表の ため、本検討会では委員・オブザーバから寄せられた、ガイドライン変更の方向性に関す る意見や留意事項及び未公表の政令・規則事項に対する要望を取りまとめた。 一方で、法改正により、法 2 条第1項の「個人情報の定義」そのものが改正されたため、 その範囲についてはガイドラインの変更案を検討した。 (2) 検討の結果 ガイドライン変更案、委員・オブザーバの意見をとりまとめた。 ○ ガイドライン変更案 ガイドライン変更案を、現行ガイドラインと対照表の様式で次に示す。 41 ガイドライン変更案 現行ガイドライン 2-1-1.「個人情報」 (法第2条第1項関連) 2-1-1.「個人情報」(法第2条第1項関連) 法第2条第1項 法第2条第1項 この法律において「個人情報」とは、生存する個人に関する情報であって、 この法律において「個人情報」とは、生存する個人に関する情報であって、 次の各号のいずれかに該当するものをいう。 当該情報に含まれる氏名、生年月日その他の記述等により特定の個人を識別 1 することができるもの(他の情報と容易に照合することができ、それにより 当該情報に含まれる氏名、生年月日その他の記述等(文書、図画若しく は電磁的記録(電磁的方式(電子的方式、磁気的方式その他人の知覚によ 特定の個人を識別することができることとなるものを含む。 )をいう。 っては認識することができない方式をいう。次項第 2 号において同じ。 ) で作られる記録をいう。第 18 条第 2 項において同じ。)に記載され、若し くは記録され、又は音声、動作その他の方法を用いて表された一切の事項 (個人識別符号を除く。 )をいう。以下同じ。 )により特定の個人を識別す ることができるもの(他の情報と容易に照合することができ、それにより 特定の個人を識別することができることとなるものを含む。 ) 2 個人識別符号が含まれるもの 「個人情報」※1とは、生存する「個人に関する情報」であって、特定の個人を 「個人情報」※1とは、生存する「個人に関する情報」であって、特定の個人を識 識別することができるもの(他の情報と容易に照合することができ、それに 別することができるもの(他の情報と容易に照合することができ、それにより より特定の個人を識別することができる※2ものを含む。)をいう。「個人に関 特定の個人を識別することができる※2ものを含む。)をいう。 「個人に関する情 する情報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個 報」は、氏名、性別、生年月日等個人を識別する情報に限られず、個人の身体、 人の身体、財産、職種、肩書等の属性に関して、事実、判断、評価を表すす 財産、職種、肩書等の属性に関して、事実、判断、評価を表すすべての情報で べての情報であり、評価情報、公刊物等によって公にされている情報や、映 あり、評価情報、公刊物等によって公にされている情報や、映像、音声による 像、音声による情報も含まれ、暗号化等によって秘匿化されているかどうか 情報も含まれ、暗号化等によって秘匿化されているかどうかを問わない(ただ を問わない(ただし、 「2-2-3-2.安全管理措置(法第20条関連) 」の対策の一 し、「2-2-3-2.安全管理措置(法第20条関連)」の対策の一つとして、高度な つとして、高度な暗号化等による秘匿化を講じることは望ましい。)。 暗号化等による秘匿化を講じることは望ましい。) 。 平成 27 年の法改正において、 「氏名、生年月日その他の記述等」とあるう 42 ガイドライン変更案 現行ガイドライン ちの「記述等」に括弧書きが設けられたのは、個人情報の記録方式、媒体及 び再現方法を明確化する趣旨に基づく。具体的には、書面や電子データに限 らず、手話、モールス信号のように音声、動作によって表わされる一切が含 まれることになる。 なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報で なお、死者に関する情報が、同時に、遺族等の生存する個人に関する情報で もある場合には、当該生存する個人に関する情報となる。 もある場合には、当該生存する個人に関する情報となる。 また、 「生存する個人」には日本国民に限られず、外国人(居住地は日本国 また、「生存する個人」には日本国民に限られず、外国人も含まれるが、法 内であるか国外であるかを問わない)も含まれるが、法人その他の団体は「個 人その他の団体は「個人」に該当しないため、法人等の団体そのものに関する 人」に該当しないため、法人等の団体そのものに関する情報は含まれない(た 情報は含まれない(ただし、役員、従業員等に関する情報は個人情報)。 だし、役員、従業員等に関する情報は個人情報) 。 ※1法は、 「個人情報」 、2-1-4.「個人データ」及び 2-1-5.「保有個人データ」 ※1法は、「個人情報」、2-1-4.「個人データ」及び 2-1-5.「保有個人データ」 の語を使い分けており、個人情報取扱事業者に課せられた義務はそれぞれ の語を使い分けており、個人情報取扱事業者に課せられた義務はそれぞれ異 異なるので、注意を要する。 なるので、注意を要する。 ※2「他の情報と容易に照合することができ、…」とは、例えば通常の作業範 ※2「他の情報と容易に照合することができ、…」とは、例えば通常の作業範 囲において、個人情報データベース等にアクセスし、照合することができ 囲において、個人情報データベース等にアクセスし、照合することができる る状態をいい、他の事業者への照会を要する場合等であって照合が困難な 状態をいい、他の事業者への照会を要する場合等であって照合が困難な状態 状態を除く。 を除く。 【個人情報に該当する事例】 【個人情報に該当する事例】 事例1)本人の氏名 事例1)本人の氏名 事例2)生年月日、連絡先(住所・居所・電話番号・メールアドレス) 、会社 事例2)生年月日、連絡先(住所・居所・電話番号・メールアドレス)、会社 における職位又は所属に関する情報について、それらと本人の氏名を における職位又は所属に関する情報について、それらと本人の氏名を 組み合わせた情報 組み合わせた情報 43 ガイドライン変更案 現行ガイドライン 事例3)防犯カメラに記録された情報等本人が判別できる映像情報 事例3)防犯カメラに記録された情報等本人が判別できる映像情報 事 例 4 ) 特 定 の 個 人 を 識 別 で き る メ ー ル ア ド レ ス 情 報 事 例 4 ) 特 定 の 個 人 を 識 別 で き る メ ー ル ア ド レ ス 情 報 ([email protected] 等のようにメールアドレスだけの情報の ([email protected] 等のようにメールアドレスだけの情報の場 場合であっても、 日本の政府機関である経済産業省に所属するケイザ 合であっても、日本の政府機関である経済産業省に所属するケイザイ イイチローのメールアドレスであることがわかるような場合等) イチローのメールアドレスであることがわかるような場合等) 事例5)特定個人を識別できる情報が記述されていなくても、周知の情報を補 事例5)特定個人を識別できる情報が記述されていなくても、周知の情報を補 って認識することにより特定の個人を識別できる情報 って認識することにより特定の個人を識別できる情報 事例6)雇用管理情報(事業者が労働者等(個人情報取扱事業者に使用されて 事例6)雇用管理情報(事業者が労働者等(個人情報取扱事業者に使用されて いる労働者、 個人情報取扱事業者に使用される労働者になろうとする いる労働者、個人情報取扱事業者に使用される労働者になろうとする 者及びなろうとした者並びに過去において個人情報取扱事業者に使 者及びなろうとした者並びに過去において個人情報取扱事業者に使 用されていた者。以下同じ。 )の雇用管理のために収集、保管、利用 用されていた者。以下同じ。)の雇用管理のために収集、保管、利用 等する個人情報をいい、その限りにおいて、病歴、収入、家族関係等 等する個人情報をいい、その限りにおいて、病歴、収入、家族関係等 の機微に触れる情報(以下「機微に触れる情報」という。)を含む労 の機微に触れる情報(以下「機微に触れる情報」という。)を含む労 働者個人に関するすべての情報が該当する。以下同じ。 ) 働者個人に関するすべての情報が該当する。以下同じ。 ) 事例7)個人情報を取得後に当該情報に付加された個人に関する情報(取得 事例7)個人情報を取得後に当該情報に付加された個人に関する情報(取得 時に生存する特定の個人を識別することができなかったとしても、取 時に生存する特定の個人を識別することができなかったとしても、取 得後、新たな情報が付加され、又は照合された結果、生存する特定の 得後、新たな情報が付加され、又は照合された結果、生存する特定の 個人を識別できた場合は、その時点で個人情報となる。 ) 個人を識別できた場合は、その時点で個人情報となる。 ) 事例8)官報、電話帳、職員録等で公にされている情報(本人の氏名等) 事例8)官報、電話帳、職員録等で公にされている情報(本人の氏名等) 44 ガイドライン変更案 現行ガイドライン 【個人情報に該当しない事例】 【個人情報に該当しない事例】 事例1)企業の財務情報等、法人等の団体そのものに関する情報(団体情 事例1)企業の財務情報等、法人等の団体そのものに関する情報(団体情報) 報) 事例2)記号や数字等の文字列だけから特定個人の情報であるか否かの区別 事例2)記号や数字等の文字列だけから特定個人の情報であるか否かの区 がつかないメールアドレス情報(例えば、[email protected]。 別 が つ か な い メ ー ル ア ド レ ス 情 報 ( 例 え ば 、 ただし、他の情報と容易に照合することによって特定の個人を識 [email protected]。ただし、他の情報と容易に照合すること 別できる場合は、個人情報となる。) によって特定の個人を識別できる場合は、個人情報となる。) 事例3)特定の個人を識別することができない統計情報 事例3)特定の個人を識別することができない統計情報 45 ○ 委員・オブザーバの意見 委員やオブザーバから寄せられた意見を提示する。 個人識別符号の範囲・対象 ・ 個人識別符号の範囲・対象を、分かりやすく事例をまじえて解説をするべきである。 ・ 個人識別符号の一部を切り出したものが個人情報に該当するのか整理が必要ではない か。 ・ 「機器に付与される符号・番号」である機器 ID、IP アドレス、製品番号等は、個人識 別符号に該当しないことを明確にして欲しい。該当する場合は、その基準を具体的に検 討すべき。 ・ 「サービス提供のための会員 ID」である携帯電話番号、メールアドレス、クレジット カード番号等は、個人識別符号に該当しないことを明確にして欲しい。該当する場合は、 その基準を具体的に検討すべき。 ・ 事業者内部でのみ利用している顧客番号や従業員番号を、個人識別符号の対象外として 欲しい。 個人情報の該当性 ・ 容易照合性に係る「提供元基準」を明確化すべきではないか。 (3) その他(課題等) 今後の政省令の内容に依存するところが大きいが、法改正の趣旨を実現しつつ、事業者 の適正な事業活動を阻害しないように、個人識別符号の定義や個人識別符号への該当可否 を具体的かつ明確に示していくことが重要である。 46 4) 消去の努力義務 (1) 検討の概要 法 19 条において、保有する個人データを利用する必要がなくなったときは、当該個人デ ータを遅滞なく消去するよう努めらければならない旨の表現が追記されたことを受け、 「個 人データを利用する必要がなくなったとき」や「遅滞なく」を具体化すべく検討を行った。 (2) 検討の結果 ガイドライン変更案をとりまとめた。 ○ ガイドライン変更案 ガイドライン変更案を、現行ガイドラインと対照表の様式で次に示す。 47 ガイドライン変更案 現行ガイドライン 2-3-1.データ内容の正確性の確保等(法第19条関連) 2-2-3-1.データ内容の正確性の確保(法第19条関連) 法第19条 法第19条 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人データを 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、 正確かつ最新の内容に保つとともに、利用する必要がなくなったときは、当該個人 個人データを正確かつ最新の内容に保つよう努めなければならない。 データを遅滞なく消去するよう努めなければならない。 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人情報データベ 個人情報取扱事業者は、利用目的の達成に必要な範囲内において、個人 ース等への個人情報の入力時の照合・確認の手続の整備、誤り等を発見した場合の 情報データベース等への個人情報の入力時の照合・確認の手続の整備、 訂正等の手続の整備、記録事項の更新、保存期間の設定等を行うことにより、個人 誤り等を発見した場合の訂正等の手続の整備、記録事項の更新、保存 データを正確かつ最新の内容に保つよう努めなければならない(2-1-4.「*電話帳、 期間の設定等を行うことにより、個人データを正確かつ最新の内容に カーナビゲーションシステム等の取扱いについて」の場合を除く。)。 保つよう努めなければならない(2-1-4.「*電話帳、カーナビゲーショ この場合、保有する個人データを一律に又は常に最新化する必要はなく、それぞ れの利用目的に応じて、その必要な範囲内で正確性・最新性を確保すれば足りる。 また、個人情報取扱事業者は、保有する個人データについて利用する必要がなく なったとき、すなわち、利用目的が達成され当該目的との関係では当該個人データを 保有する合理的な理由が存在しなくなった場合や、利用目的が達成されなかったもの の当該目的の前提となる事業自体が中止となった場合等は、事業者のデータ管理のサ イクル等、実務上の都合に配慮しながらも、当該個人データを遅滞なく消去するよう 努めなければならない。ただし、他の法令の定めにより保存期間等が定められている 場合はこの限りではない。 【保有する個人データについて利用する必要がなくなったときに該当する事例】 事例)キャンペーンの懸賞品送付のため、応募者の個人データを保有していたとこ ろ、懸賞品の発送が終わり、不着対応等のための一定期間が経過したとき。 48 ンシステム等の取扱いについて」の場合を除く。) 。 この場合、保有する個人データを一律に又は常に最新化する必要は なく、それぞれの利用目的に応じて、その必要な範囲内で正確性・最 新性を確保すれば足りる。 (3) その他(課題等) 特になし。 49 5) 開示請求権の明確化 (1) 検討の概要 法改正によって、個人情報の開示請求権が権利であることが認められた。このことを受 けて、ガイドラインの解説部分の改正案を検討した。また、改正法 34 条第 1 項において、 訴えの提起について、請求到達後2週間は行えないことを明らかにした改正がなされたこ とから、この改正の趣旨についても解説案を検討した。 (2) 検討の結果 ガイドライン変更案をとりまとめた。 ○ ガイドライン変更案 ガイドライン変更案を、現行ガイドラインと対照表の様式で次に示す。 50 ガイドライン変更案 現行ガイドライン 2-2-5-2 保有個人データの開示(法第28条関連) 2-2-5-2 保有個人データの開示(法第25条関連) 法第28条第1項 法第25条第1項 本人は、個人情報取扱事業者に対し、当該本人が識別される保有個人デ 個人情報取扱事業者は、本人から、当該本人が識別される保有個人デー ータの開示を請求することができる。 タの開示(当該本人が識別される保有個人データが存在しないときにその 旨を知らせることを含む。以下同じ。)を求められたときは、本人に対し、 法第28条第2項 政令で定める方法により、遅滞なく、当該保有個人データを開示しなけれ 個人情報取扱事業者は、前項の規定による請求を受けたときは、本人に ばならない。ただし、開示することにより次の各号のいずれかに該当する 対し、政令で定める方法により、遅滞なく、当該保有個人データを開示し 場合は、その全部又は一部を開示しないことができる。 なければならない。ただし、開示することにより次の各号のいずれかに該 1 当する場合は、その全部又は一部を開示しないことができる。 本人又は第三者の生命、身体、財産その他の権利利益を害するおそれ 1 がある場合 本人又は第三者の生命、身体、財産その他の権利利益を害するおそ 2 れがある場合 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼす 2 おそれがある場合 当該個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼす 3 他の法令に違反することとなる場合 おそれがある場合 3 他の法令に違反することとなる場合 政令第6条 法第25条第1項の政令で定める方法は、書面の交付による方法(開示 法第28条第3項 の求めを行った者が同意した方法があるときは、当該方法)とする。 個人情報取扱事業者は、第 1 項の規定による請求に係る保有個人データ の全部又は一部について開示しない旨の決定をしたとき又は当該保有個 人データが存在しないときは、本人に対し、遅滞なく、その旨を通知しな ければならない。 政令第○条(検討中) 法第 28 条第 2 項の政令で定める方法は、書面の交付による方法(開示の 51 ガイドライン変更案 現行ガイドライン 請求を行った者が同意した方法があるときは、当該方法)とする。 法第34条第1項 本人は、第28条第1項、第29条第1項又は第30条(新設)第1項 若しくは第3項の規定による請求に係る訴えを提起しようとするときは、 その訴えの被告となるべき者に対し、あらかじめ、当該請求を行い、かつ、 その到達した日から2週間を経過した後でなければ、その訴えを提起する ことができない。ただし、当該訴えの被告となるべき者がその請求を拒ん だときは、この限りでない。 保有個人データの開示請求等の各請求は裁判上請求可能な本人の請求権であ る。 個人情報取扱事業者は、本人から、自己が識別される保有個人データの開示(存 在しないときにはその旨を知らせることを含む。)を請求されたときは、本人に 対し、書面の交付による方法(開示の求めを行った者が同意した方法があるとき はその方法※1)により、遅滞なく、当該保有個人データを開示しなければならな い(2-1-4.「*電話帳、カーナビゲーションシステム等の取扱いについて」の場 個人情報取扱事業者は、本人から、自己が識別される保有個人データの開示 (存在しないときにはその旨を知らせることを含む。)を求められたときは、本 人に対し、書面の交付による方法(開示の求めを行った者が同意した方法があ るときはその方法※1)により、遅滞なく、当該保有個人データを開示しなけれ ばならない(2-1-4.「*電話帳、カーナビゲーションシステム等の取扱いにつ いて」の場合を除く。)。 合を除く。 ) 。 また、消費者等、本人の権利利益保護の観点から、事業活動の特性、規模及 び実態を考慮して、個人情報の取得元又は取得方法(取得源の種類等)を、可 能な限り具体的に明記し、本人からの請求に一層対応していくことが望まし また、消費者等、本人の権利利益保護の観点から、事業活動の特性、規模 及び実態を考慮して、個人情報の取得元又は取得方法(取得源の種類等)を、 可能な限り具体的に明記し、本人からの求めに一層対応していくことが望ま しい。 い。 なお、他の法令の規定により、別途開示の手続が定められている場合には、 なお、他の法令の規定により、別途開示の手続が定められている場合には、 当該別途の開示の手続が優先されることとなる。 当該別途の開示の手続が優先されることとなる。 52 ガイドライン変更案 現行ガイドライン 雇用管理情報の開示の請求に応じる手続については、個人情報取扱事業者 雇用管理情報の開示の求めに応じる手続については、個人情報取扱事業者 は、あらかじめ、労働組合等と必要に応じ協議した上で、本人から開示を請求 は、あらかじめ、労働組合等と必要に応じ協議した上で、本人から開示を求 された保有個人データについて、その全部又は一部を開示することによりその められた保有個人データについて、その全部又は一部を開示することにより 業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当するとして その業務の適正な実施に著しい支障を及ぼすおそれがある場合に該当する 非開示とすることが想定される保有個人データの開示に関する事項を定め、労 として非開示とすることが想定される保有個人データの開示に関する事項 働者等に周知させるための措置を講ずるよう努めなければならない。 を定め、労働者等に周知させるための措置を講ずるよう努めなければならな なお、本人が、裁判上の訴えにより、当該本人が識別される保有個人データ い。 の開示を請求する場合と本条との関係については、●-●(法第 34 条関連)を 参照。 ※1「開示の求めを行った者が同意した方法があるときはその方法」につい ※1「開示の請求を行った者が同意した方法があるときはその方法」について 開示の方法としては、請求を行った者が同意している場合には電子メール、 て 開示の方法としては、求めを行った者が同意している場合には電子メー 電話等様々な方法が可能であり、書面の交付による方法は同意がなくても可能 ル、電話等様々な方法が可能であり、書面の交付による方法は同意がなくて との意味である。 も可能との意味である。 また、開示の請求を行った者から開示の方法について特に指定がなく、個人 また、開示の求めを行った者から開示の方法について特に指定がなく、個 情報取扱事業者が提示した方法に対して異議を述べなかった場合(電話での開 人情報取扱事業者が提示した方法に対して異議を述べなかった場合(電話で 示の求めがあり、必要な本人確認等の後、そのまま電話で問い合わせに回答す の開示の求めがあり、必要な本人確認等の後、そのまま電話で問い合わせに る場合を含む。 )は、当該方法について同意があったものとみなすことができ 回答する場合を含む。)は、当該方法について同意があったものとみなすこ る。開示の請求があった者からの同意の取り方として、個人情報取扱事業者が とができる。開示の求めがあった者からの同意の取り方として、個人情報取 開示方法を提示して、その者が希望する複数の方法の中から当該事業者が選択 扱事業者が開示方法を提示して、その者が希望する複数の方法の中から当該 することも考えられる。 事業者が選択することも考えられる。 ただし、開示することにより下記の (ⅰ)から(ⅲ)までのいずれかに該当す ただし、開示することにより下記の (ⅰ)から(ⅲ)までのいずれかに該当す る場合は、その全部又は一部を開示しないことができるが、この場合は、その る場合は、その全部又は一部を開示しないことができるが、この場合は、そ ※2 旨を本人に通知 の旨を本人に通知※2しなければならない。 しなければならない。 53 ガイドライン変更案 現行ガイドライン ※2「本人に通知」については、2-1-7.参照。 ※2「本人に通知」については、2-1-7.参照。 (ⅰ)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれがあ (ⅰ)本人又は第三者の生命、身体、財産その他の権利利益を害するおそれが る場合 ある場合 事例)医療機関等において、病名等を開示することにより、本人の心身状 況を悪化させるおそれがある場合 事例)医療機関等において、病名等を開示することにより、本人の心身 状況を悪化させるおそれがある場合 (ⅱ)個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれが (ⅱ)個人情報取扱事業者の業務の適正な実施に著しい支障を及ぼすおそれ ある場合 がある場合 事例1)試験実施機関において、採点情報のすべてを開示することにより、 事例1)試験実施機関において、採点情報のすべてを開示することによ 試験制度の維持に著しい支障を及ぼすおそれがある場合 り、試験制度の維持に著しい支障を及ぼすおそれがある場合 事例2)同一の本人から複雑な対応を要する同一内容について繰り返し開 事例2)同一の本人から複雑な対応を要する同一内容について繰り返し 示の求めがあり、事実上問い合わせ窓口が占有されることによ 開示の求めがあり、事実上問い合わせ窓口が占有されることに って他の問い合わせ対応業務が立ち行かなくなる等、業務上著 よって他の問い合わせ対応業務が立ち行かなくなる等、業務上 しい支障を及ぼすおそれがある場合 著しい支障を及ぼすおそれがある場合 (ⅲ)他の法令に違反することとなる場合 (ⅲ)他の法令に違反することとなる場合 事例1)金融機関が「犯罪による収益の移転防止に関する法律」第9条第 事例1)金融機関が「犯罪による収益の移転防止に関する法律」第9条 1項に基づいて、主務大臣に取引の届出を行っていたときに、 第1項に基づいて、主務大臣に取引の届出を行っていたとき 当該届出を行ったことが記録されている保有個人データを開示 に、当該届出を行ったことが記録されている保有個人データを することが同条第2項の規定に違反する場合 開示することが同条第2項の規定に違反する場合 54 ガイドライン変更案 現行ガイドライン 事例2)刑法第134条(秘密漏示罪)や電気通信事業法第4条(通信の 秘密の保護)に違反することとなる場合 事例2)刑法第134条(秘密漏示罪)や電気通信事業法第4条(通信 の秘密の保護)に違反することとなる場合 なお、個人情報取扱事業者は、本人から開示請求等の請求を受けた場合、請 求を拒んだ場合を除いて、請求の到達した日から2週間を経過した後でなけれ ば訴えを提起されることはない。 法第34条第1項の定めは、基本的には裁判外において当事者間で任意に解 決できる方が迅速であり、望ましい在り方であるといえること、また、応訴へ の対応が事業者にとって過度な負担とならないよう、開示等の請求について直 ちに訴えの提起をすることができないこととしつつ、裁判外で解決できる事案 については当事者間で任意に解決する道を選択できるようにすることが必要 であるとの配慮に基づいて導入されたものである。 個人情報取扱事業者としては、請求がなされた場合には、この2週間の間に、 本人の請求に具体的に応じることが可能かどうかを勘案・準備し、本人とコミ ュニケーションを取り、双方が納得できる解決方策を見つけるなど、できる限 りの対応を行うよう努めることが望ましい。 55 (3) その他(課題等) 特になし。 56 6) 個人情報データベース等提供罪等 (1) 検討の概要 平成 27 年の個人情報保護法の改正により、個人情報取扱事業者、若しくはその従業者または過去こ れらであった者が、その業務に関して取り扱った個人情報データベース等(その全部又は一部を複製し、 又は加工したものを含む。 )を不正な利益を図る目的で提供し、または盗用した場合、刑事罰(一年以 下の懲役又は五十万円以下の罰金)が科され得ることとなった(法第 83 条)。これは、個人情報保護法 には個人情報データベース等の提供や盗用に関する罰則規定がなく、不正競争防止法によって対応して いたことによる。今回の改正により、個人情報保護法による処罰が可能になった。 また不正競争防止法についても、平成 27 年に改正が行われ、第三取得者以降の取得者に対する処罰 範囲の拡大や、罰則の強化が行われた。 以上の法改正の動向を元に、適正取得の項目にあった不正競争防止法の記載を改めるとともに、個人 情報保護法に新たに規定された、個人情報データベース等の提供に関する罪の記載を追加した。 他方、トレーサビリティに関する記載の新設(法第 26 条)に伴い、提供元の個人情報保護法の遵守 状況等に関する記載はトレーサビリティの項に移管することを想定し、本項からは削除することとした。 (2) 検討の結果 ガイドライン変更案と Q&A 変更案をとりまとめた。 ○ ガイドライン変更案 ガイドライン変更案を、現行ガイドラインと対照表の様式で次に示す。 57 ガイドライン変更案 現行ガイドライン 2-2-2.個人情報の取得関係(法第17条~第18条関連) 2-2-2.個人情報の取得関係(法第17条~第18条関連) (1)適正取得(法第17条関連) (1)適正取得(法第17条関連) 法第17条 法第17条 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得して 個人情報取扱事業者は、偽りその他不正の手段により個人情報を取得し はならない。 てはならない。 個人情報取扱事業者は、偽り等の不正の手段により個人情報を取得してはな らない。 個人情報取扱事業者は、偽り等の不正の手段により個人情報を取得しては ならない。 個人情報取扱事業者、若しくはその従業者または過去これらであった者が、 なお、不正の利益を得る目的で、又はその保有者に損害を加える目的で、 その業務に関して取り扱った個人情報データベース等(その全部又は一部を複 秘密として管理されている事業上有用な個人情報で公然と知られていないも 製し、又は加工したものを含む。)を不正な利益を図る目的で提供し、または のを、不正に取得したり、不正に使用・開示した場合には不正競争防止法(平 盗用した場合、刑事罰(一年以下の懲役又は五十万円以下の罰金)が科され得 成5年法律第47号)第21条、第22条により刑事罰(行為者に対する1 る(法第 83 条) 。 0年以下の懲役若しくは1,000万円以下の罰金、又はその併科。法人に なお、不正の利益を得る目的で、又はその保有者に損害を加える目的で、秘 対する3億円以下の罰金)が科され得る。 密として管理されている事業上有用な個人情報で公然と知られていないもの また、第三者からの提供(法第 23 条第1項各号に掲げる場合並びに個人情 を、不正に取得したり、不正に使用・開示した場合には、第三次取得者以降の 報の取扱いの委託、事業の承継及び共同利用に伴い、個人情報を提供する場 転得者を含め、不正競争防止法(平成5年法律第47号)第21条、第22条 合を除く。 )により、個人情報(政令第2条第2号に規定するものから取得し により刑事罰(行為者に対する10年以下の懲役若しくは2,000万円以下 た個人情報を除く。 )を取得する場合には、提供元の法の遵守状況(例えば、 の罰金、又はその併科。法人に対する5億円以下の罰金)が科され得る。 オプトアウト、利用目的、開示手続、問合わせ・苦情の受付窓口を公表して また、第三者からの提供(法第 23 条第1項各号に掲げる場合並びに個人情 いることなど)を確認し、個人情報を適切に管理している者を提供元として 報の取扱いの委託、事業の承継及び共同利用に伴い、個人情報を提供する場合 選定するとともに、実際に個人情報を取得する際には、例えば、取得の経緯 を除く。)により、個人情報(政令第2条第2号に規定するものから取得した を示す契約書等の書面を点検する等により、当該個人情報の取得方法等を確 個人情報を除く。)を取得する場合には、提供元の法の遵守状況(例えば、オ 認した上で、当該個人情報が適法に取得されたことが確認できない場合は、 プトアウト、利用目的、開示手続、問合わせ・苦情の受付窓口を公表している 偽りその他不正の手段により取得されたものである可能性もあることから、 58 ガイドライン変更案 現行ガイドライン ことなど)を確認し、個人情報を適切に管理している者を提供元として選定す るとともに、実際に個人情報を取得する際には、例えば、取得の経緯を示す契 約書等の書面を点検する等により、当該個人情報の取得方法等を確認した上 で、当該個人情報が適法に取得されたことが確認できない場合は、偽りその他 不正の手段により取得されたものである可能性もあることから、その取得を自 粛することを含め、慎重に対応することが望ましい。 (トレーサビリティの項目に入れ込むため削除) 59 その取得を自粛することを含め、慎重に対応することが望ましい。 〇Q&A 変更案 現行の Q&A 51 の変更案を以下に示す。 Q A (1)名簿業者から個人の名簿を購入すること (1)購入すること自体が禁止されているわけ は禁止されていますか。 ではありません。 (2)名簿が不正取得されたものであることを知 (2)法第 26 条により、第三者提供を受ける際 らずに買った場合は、責任を問われることはあ には、個人情報保護委員会の規則に従って、 りますか。 取得の経緯等を確認することが義務づけられ ます。 また、不正競争防止法上、知ることができて 当然である場合等には責任を問われる可能 性があります。(注:規則内容に応じて修正が 必要) (3) その他(課題等) 特になし。 60 7) 要配慮個人情報 (1) 検討の概要 法改正によって、要配慮個人情報という概念が新設された(第2条3項)。この改正は、 本人に対する不当な差別又は偏見が生じないように、人種、信条、病歴等が含まれる個人 情報については、本人同意を得て取得することを原則義務化し、本人同意を得ない第三者 提供の特例(オプトアウト)を禁止するものである。 但し、要配慮個人情報の定義そのものは今後政令で定められるものであるため、検討で は、委員やオブザーバ等から気になる点などについて意見を集め、検討するにとどめた。 意見としては、要配慮個人情報の取り扱いについて、取り扱いの禁止ではなく原則取得 禁止であることをより明確に説明すべきであるという意見や、必要以上の萎縮効果が生じ ないように、正当な目的での利用まで一切の利用が禁止されているわけではないことの明 示などをすべきという意見が聞かれた。 (2) 検討の結果 前提となる政令・規則事項が未公表のため、具体的な変更案の作成は行わず、代わりに 委員・オブザーバから寄せられた意見を取りまとめた。 ○ 委員・オブザーバの意見 要配慮個人情報の取り扱いや、定義の範囲の考え方に関する意見などが寄せられた。 以下、委員やオブザーバから寄せられた意見を提示する。 要配慮個人情報の取扱い ・ 要配慮個人情報は、取扱が必要な場面もあることから、正当な目的での取扱いは妨げら れていないことを明確にすべき。 ・ 要配慮情報の取得禁止の例外理由を定める 17 条 2 項各号と、23 条 1 項各号との関係に ついて整理や事例の追加が必要である。 ・ 要配慮個人情報は、取扱いの禁止ではなく、「原則取得禁止」であることについて明記 が必要である。 ・ オプトアウト方式で個人データを第三者に提供するに際して、当該データに要配慮個人 情報が含まれていないことを確認するよう促すべきではないか ・ 要配慮個人情報の取得時における同意の取り方について検討すべきではないか。 要配慮個人情報の範囲 ・ 「病歴」など、政令で定める要配慮個人情報について、要配慮個人情報の範囲の明確化 や具体例の提示等により、わかりやすくすることが必要である。 61 (3) その他(課題等) 特になし。 62 8) 匿名加工情報 (1) 検討の概要 法改正によって、個人情報を匿名化することによって、本人同意がなくても第三者提供 することのできる「匿名加工情報」に関する枠組みが規定された。具体的には、まず第 2 条 9 項で、匿名加工情報を、第 2 条 10 項で匿名加工情報取扱事業者を定義し、第二節の第 36 条(匿名加工情報の作成等) 、第 37 条(匿名加工情報の提供)、第 38 条(識別行為の禁 止) 、第 39 条(安全管理措置等)において匿名加工情報取扱事業者の義務が規定された。 以上のうち、匿名加工情報の作成方法を除く改正事項について議論した。なお匿名加工 情報の作成方法は、本報告書の「第2 匿名加工情報の作成方法に係る検討」において記 載している。 (2) 検討の結果 前提となる政令・規則事項が未公表のため、具体的な案の作成は行わず、代わりに委員・ オブザーバから寄せられた意見を取りまとめた。 ○ 委員・オブザーバの意見 以下、委員やオブザーバから寄せられた意見を提示する。 匿名加工情報の範囲 ・ 客観的に匿名加工情報であることが検証できる定義にして欲しい。 ・ 安全管理措置の目的で匿名化して、見た目は匿名加工情報と見分けが付かないデータで あっても、 「匿名加工情報」として活用することを目的としない(個人情報として取り 扱う)のであれば、公表などの匿名加工情報の義務は課せられないことを、明示すべき である。 仮名化、統計データとの関係 ・ 仮名化データ、統計データ、 「匿名加工情報」との関係を整理すべきである。 公表の方法 ・ 公表の方法は、できるだけ具体的であることが望ましい、とすべき。 ・ 匿名加工情報に係る公表の方法は具体的に示して欲しい。 委託 ・ 「匿名加工情報」の取扱い業務の外部委託に係る規定はないことから、当該業務を委託 する場合の解釈を整理すべきではないか。 63 安全管理措置 ・ 加工方法等に関する安全管理措置については、厳格な水準を要求すべきではないか。 識別行為の禁止 ・ 本人を識別することを目的としない場合(属性推定を目的とする場合など)、他の情報 と照合することが認められることを明記してほしい。 加工基準のあり方 ・ 委員会規則は、必要最小限の原則的な事項を定め、具体的な加工基準などは、認定個人 情報保護団体が定める個人情報保護指針にゆだねられるようにしてほしい。 ・ 委員会規則が技術的な細目を定めるのでは無く、事業者相互のベストプラクティスの共 有などについて協力する方向を目指して欲しい。 ・ 二条 9 項の「当該個人情報を復元することができない」の意味が不確定。一部の情報の 復元であっても法で言う「復元」に該当するのか、全部の情報の復元が該当するのか明 確にすべき。 (3) その他(課題等) 特に無し。 64 9) 個人情報保護指針 (1) 検討の概要 個人情報保護法の本改正の枠組みを定めた「パーソナルデータの利活用に関する制度改 正大綱」 (2014 年 6 月 24 日、高度情報通信ネットワーク社会推進戦略本部)において「基 本的な制度の枠組みとこれを補完する民間の自主的な取組の活用」として謳われ、法 改正されたのが、個人情報保護指針に係る規定である。 第 53 条 1 項において「認定個人情報保護団体は、対象事業者の個人情報等の適正な取扱 いの確保のために、個人情報に係る利用目的の特定、安全管理のための措置、開示等の請 求等に応じる手続その他の事項又は匿名加工情報に係る作成の方法、その情報の安全管理 のための措置その他の事項に関し、消費者の意見を代表する者その他の関係者の意見を聴 いて、この法律の規定の趣旨に沿った指針(以下「個人情報保護指針」という。 )を作成す るよう努めなければならない。」と、新たに個人情報保護指針に関する規定が整備された。 本条に関して、個人情報保護指針の作成方法や寄せられた苦情への対応のあり方につい え議論した。 (2) 検討の結果 前提となる規則事項が未公表のため、具体的な案の作成は行わず、代わりに委員・オブ ザーバから寄せられた意見を取りまとめた。 ○ 委員・オブザーバの意見 以下、委員やオブザーバから寄せられた意見を提示する。 指針の作成方法 ・ 「消費者の意見を代表する者」 「その他の関係者」の意味、範囲を明確にすべき。 その他 ・ 苦情の申出に対する調査・解決要求、指針遵守のための勧告等についても、具体的に記 載する必要はないか。あるいは、事業者向けガイドラインとしては、資料提出要求を拒 む正当な理由の内容や、団体からの勧告等への対応について記載すべきか。 (3) その他(課題等) 特に無し。 65 10) トレーサビリティの確保 (1) 検討の概要 ガイドライン変更の前提となる政令・規則事項が未公表のため、本検討会では委員・オ ブザーバから寄せられた、ガイドライン変更の方向性に関する意見や留意事項及び未公表 の政令・規則事項に対する要望を取りまとめた。 (2) 検討の結果 前提となる政令・規則事項が未公表のため、具体的な案の作成は行わず、代わりに委員・ オブザーバから寄せられた意見を取りまとめた。 ○ 委員・オブザーバの意見 以下、委員やオブザーバから寄せられた意見を提示する。 記録義務の例外 ・ 記録義務が課されない事案について明記してほしい。特に以下の 2 つについては明確化 が求められる。ただし、事業者が 2.の場合を装うことがないよう、手当てを講じること が望ましい。 1. 委託契約に基づく提供 2. 改正法施行以前に行った第三者提供 ・ 報道機関等、法 76 条に該当する第三者への提供については、提供事業者が記載を怠っ たとしても委員会が事業者に権限を行使しないことを注記してはどうか。 事業実態に則した記録義務の適正化 ・ 以下の場合においては、ネットワークログや契約書面など他に記録を代替するものがあ れば、改めて別に記録を作成する必要はないとしてほしい。ただし、記録の省略にあた っては、事後に委員会によるトレースが不可能とならないよう、既存の記録方法におい て、提供側と受領側の記録事項の対応関係が明確になるよう努めるものとする。 1. 同一の提供事案による複数回の提供 2. 同一の事業者間での反復継続的な提供 3. 本人が未成年等の場合、その親権者等への提供 取得経緯の確認事項 ・ 確認事項の理解を促すため、不適正取得事例を記載することが望ましい。 ・ 住民基本台帳の閲覧制度が廃止されたことにより、個人情報が大量に出回る可能性は考 えづらく、仮に大量な取得を行う際は、その経緯に特に注意することを明記してはどう 66 か。 本人同意がある場合の対応 ・ 本人同意があっても記録義務が課される、又は義務は課されるが記録事項が軽減される 場合はその点を明確化する必要がある。 第三者提供の片一方で個人データに該当する場合の対応 ・ 提供元・提供先の片一方で「個人データ」に該当する場合、義務が課されるか、対応を 明確化する必要がある。 現行ガイドラインの記載との整合性の確保 トレーサビリティ確保の規定は、個人情報の大規模漏洩事件を受けて経済産業分野ガイド ライン改正において法改正よりも先にガイドラインの改正を行ったものであるため、法改 正に伴うトレーサビリティ確保の手続との整合性の確保及び平仄を合わせる必要がある。 (3) その他(課題等) 特になし。 67 11) オプトアウト規定の厳格化 (1) 検討の概要 ガイドライン変更の前提となる政令・規則事項が未公表のため、本検討会では委員・オ ブザーバから寄せられた、ガイドライン変更の方向性に関する意見や留意事項及び未公表 の政令・規則事項に対する要望を取りまとめた。 (2) 検討の結果 前提となる政令・規則事項が未公表のため、具体的な変更案の作成は行わず、代わりに 委員・オブザーバから寄せられた意見を取りまとめた。 ○ 委員・オブザーバの意見 以下、委員やオブザーバから寄せられた意見を提示する。 留意事項の明記 ・ 要配慮個人情報はオプトアウトを用いた第三者提供が出来ない旨を明記する必要があ る。ただし、法 23 条 1 項各号の第三者提供の例外に該当する場合は、本人の同意を得 ることなく個人データを提供することができることを併記して消費者の過剰反応を防 ぐことが望ましい。 ・ 第三者提供の停止請求権が新設(法 30 条 3 項)されたこと受け、同条に基づく停止請 求との違いを注記する必要がある。 本人への通知又は容易に知り得る状態の明確化 ・ 「本人への通知または本人が容易に知り得る状態に置く」の具体例を記載してほしい。 また、現行の「本人が定期的に閲覧すると想定されるウェブサイトへの継続的な掲載、 事業所内において広く頒布されている刊行物における定期な掲載等」の方法が今後も認 められることが望まれる。 ・ 消費者の利便性に立ち、本人が停止の状況を提供先ごとに確認できるようすることが望 ましい旨を明記してはどうか。 オプトアウトの定義に対する誤解の回避 ・ オプトアウトは第三者提供の際のみに提供するものといった事業者の誤解を回避する ため、当該箇所の見出しを「第三者提供におけるオプトアウト」と変更してはどうか。 また、誤解を回避する別の方法として、オプトアウトの定義についての解説を付記して はどうか。 68 届出手続きの簡素化・柔軟化 ・ 事業者の過度の負担とならないよう、届出項目・手続きの簡素化及び柔軟化をしてほし い。 <簡素化案> ・法人番号とオプトアウト手続を記載した URL のみを届出項目とする ・オプトアウトの手続等ウェブサイトの記載内容を変更する都度の届出は不要とする ・個人データの提供を受ける主体が、提供元に代わって届出を行うことを認める (3) その他(課題等) 特になし。 69 12) 外国事業者への第三者提供 (1) 検討の概要 法改正によって、従来の第三者提供に関する規定(第 23 条)に加え、国外にある第三者 に個人情報を提供する際には、あらかじめ当該第三者への提供を認める旨の本人の同意を 得なければならないことが規定された(第 24 条) 。 ただし、①当該国が個人の権利利益を保護する上で我が国と同等の水準にあると認めら れる個人情報の保護に関する制度を有している外国として個人情報保護委員会規則で定め られている場合、②当該第三者が個人データの扱いについて個人情報取扱事業者が講ずべ きこととされている措置に相当する措置を継続的に講ずるために必要なものとして個人情 報保護委員会規則で定める基準に適合する体制を整備している者である場合、には第 24 条 に規定される同意が不要とされる。 上記①、②の例外の指す内容については委員会規則によって定められるため、検討会で の議論は、(i)国外にある第三者の範囲、(ii)24 条で取得が義務づけられる同意の範囲、につ いて行われた。前者は法人/自然人の別や、サーバーの設置場所と管理権の関係等、後者は 同意を取得する際に国名などを挙げるか否か等が議論された。 (2) 検討の結果 前提となる政令・規則事項が未公表のため、具体的な案の作成は行わず、代わりに委員・ オブザーバから寄せられた意見を取りまとめた。 ○ 委員・オブザーバの意見 以下、委員やオブザーバから寄せられた意見を提示する。 (第 24 条の例外事由の整理) ・ 第 24 条には 2 つの例外(上記(1)の①、②)が存在することを明確にする(各例外 については、委員会規則が詳細を定める)。 ・ 他方、24 条の文言上、委託は当然には例外とみなされないことを明確にすべき。 (適用対象となる第三者の範囲の明確化) ・ 適用対象となる第三者の範囲を明確化してほしい。具体的には、自然人(含個人事業主) 、 法人およびその他団体(権利能力なき社団等)の区別、グループ企業、合弁先等の提供 元との関係による区別、サーバーの所在国・管理権による区別、等である。 (取得すべき同意内容の明確化) ・ 法 24 条に関して、取得すべき同意の内容を明確化すべき。具体的には、同意取得の際 70 に移転先の国名や第三者の名称まで含めるべきか否か、である。 (3) その他(課題等) 寄せられた意見のうち、第 24 条が規定する第三者の範囲や取得すべき同意の内容に関し ては、法文上十分に明らかとは言い難いから、今回の検討会での議論等を踏まえ、ガイド ライン等において一層の明確化が図られることが期待される。 71 13) 国境を越えた適用等 (1) 検討の概要 法改正によって、個人情報保護法の国境を越えた適用が規定された。具体的には、まず 第 75 条で、日本国内にある者に対する物品又は役務の提供に関連して個人情報を取得した 外国事業者が、外国で当該個人情報またはその匿名加工情報を扱う場合にも日本の個人情 報保護法を適用することが規定された。 また、外国において日本当局が上記規制を執行することは当該国の主権侵害となるから、 外国当局との執行協力について第 78 条で規定した。 以上の改正について、特に 75 条で規律されることとなる、 「日本国内にある者に対する 物品又は役務の提供に関連して個人情報を取得した」の意義や、日本国内から国外への第 三者提供(24 条)の相違などについて議論した。 (2) 検討の結果 具体的な案の作成は行わず、代わりに委員・オブザーバから寄せられた意見を取りまと めた。 ○ 委員・オブザーバの意見 委員やオブザーバから寄せられた意見を提示する。 ・ 第 24 条でカバーされる第三者提供と、75 条でカバーされる域外適用の関係を明確にし てほしい(たとえば、日本事業者から第三者提供として個人情報を受け取った外国事業 者は 75 条の対象とならない、等)。 ・ 適用対象となる外国事業者の行為を明確化すべき。 (3) その他(課題等) 委員やオブザーバから寄せられた意見では、適用範囲の明確化と国外への第三者提供を 定めた第 24 条との関係の整理が求められている。今後の検討でこれらの一層の明確化が図 られることが期待される。 72 14) クラウドに保存するデータの取扱い (1) 検討の概要 現行ガイドラインでの記載では、倉庫業、データセンター(ハウジング、ホスティング) 等の事業者が、個人情報に該当するかどうかを認識することなく情報を預かっている場合、 当該情報の中に個人情報が含まれていたとしても、事業の用に供していない(個人情報の 委託を受けているものではない)として、義務規定が適用されないと整理されており、こ れを根拠として、クラウド事業者には、クラウドに保存されている個人情報に対して、個 人情報取扱事業者の義務が適用されないとみなしている者がいる。 一方、ユーザー企業は、クラウド事業者に個人情報を保存することを通知せずに、クラ ウド上で個人情報を管理している場合も多い。これは、ユーザー企業がクラウドの高いセ キュリティ水準を多分に期待しているからであり、またクラウド事業者には、通知を受け ずとも個人情報が保存されることを想定できる、又は当然想定するべき場合も多いと考え られる。 このため、クラウド事業者一般に、個人情報保護の委託行為への該当性及び事業の用に 供しているかどうかについて議論した。 (2) 検討の結果 Q&Aの変更案を取りまとめた。 クラウドサービスには、多種多様なサービス形態があり、またデータの越境移転に係る 問題も存在する等の理由から、今後更なる精査が必要であることを踏まえ、本検討会とし ては、上記に掲げる案を参考案として掲げ、今後、調整していくものとした。 なお、当該調整に当たっては、以下の参考案がクラウドサービス全般について一律に該 当し得るか否かという点も含めて、引き続き十分な検討が必要である。 (参考)Q&A の新規追加案 Q A ストレージサービスをはじめとするクラウドサー 委託に該当します。なお、委託元に求められる ビスやデータセンター(ハウジング、ホスティン 委託先の監督責任は必要かつ適切なものであ グ)を使って、個人情報を含むデータを管理す り、クラウド事業者等に立ち入って監査する等 る場合は、委託(法第 23 条第4項第1号)に該 過剰なものを求めるものではありません。 当しますか。また、この場合にクラウド事業者 また、クラウド事業者等は、通常は管理するク 等には安全管理等の個人情報の取扱いに係 ラウド等の中に個人情報が保存されているか る義務規定が適用されますか。 どうかを認識することなく個人情報を取り扱っ 73 ていますが、社会通念上、クラウド等の中に個 人情報が保存されていると想定されるため、当 該事業者が個人情報を事業の用に供している と認められることから、義務規定が適用される ものと解されます。 ただし、クラウド事業者等が明示的に個人情報 の保存を禁止している等個人情報が含まれる ことが通常は想定されない場合は、この限りで はありません。 (参考)現行の Q&A 120 の変更案 Q A 郵便や宅配を使って個人情報を含むものを送 委託に該当します。ただし、郵便局、宅配及び る場合は、委託(法第 23 条第4項第1号)に該 倉庫の事業者は、通常は送付物等の中に個 当しますか。 また、倉庫業者に個人情報を含 人情報が含まれているかどうかを認識すること むものを預ける場合は委託に該当しますか。さ なく個人情報送付物等を取り扱っていますの らに、これらの場合に郵便、宅配及び倉庫の で、事業の用に供しているとは認められず、義 事業者には安全管理等の個人情報の取扱い 務規定が適用されないものと解されます(ガイ に係る義務規定が適用されますか。 ドライン6頁【事業の用に供しないため特定の 個人の数に参入しない事例】参照)。 (2005.7.28) (3) その他(課題等) 前述の通り、クラウドサービスには、多種多様なサービス形態があり、またデータの越 境移転に係る問題も存在する等の理由から、今後更なる精査が必要であることを踏まえ、 今後、調整していくものとする。 74 3. 今後の検討に向けて 忘れられる権利、プロファイリングの扱い、データ持ち運びの権利、プライバシー影響 評価等、今後のパーソナルデータの活用や個人情報保護の課題について、検討会において 石井委員から発表をいただき、討議を行った。石井委員が発表に用いた資料は、本報告書 の付属資料2として巻末に付している。 検討会における主な質疑を以下に示す。 (質問) プロファイリングで自動処理の決定に服さない権利とは、公法や私法の場面で、民民間 の契約等、どのようになっているか。また、プロファイリングで決定に異議を申し立て る権利とプロファイリングの説明を受ける権利はセットなのか。 (回答) 前者については、雇用や信用の場面で、失職する、カードを作れないといった不利益を 受けない権利を有する。実体的な権利としては、異議を申し立てるしかない。オンライ ンで不利益な情報が出て雇用されない場合には、異議を申し立てる権利がある。結果的 に、自動処理に基づかずに判断される状態が実現される。プロファイリングについては セットで考えるべき。 (質問) 消去について、通知をすることもできないので、消してしまったデータの対象者に対し て通知を行うものではないということか。 (回答) ここでは受領者が対象となっている。データ主体が入らないわけではないが、難しい。 (質問) 検索エンジンは体系的に個人の情報を入手していないので個人情報データベースではな いとされたが、判例では検索エンジンが個人情報データベースとして扱われたというこ とか。 (回答) 体系的とは、インターネットの世界でどう役割を果たしているかを述べたもので、検索 すれば当該人物の情報を体系的に入手できるというものである。 本判決において検索エンジンがデータ管理者に当たると判断されている点は重要。 75 第2. 匿名加工情報の作成方法に係る検討 個人情報保護法の改正によって、特定の個人を識別することができないように個人情報 を加工したものを匿名加工情報と定義し、その加工方法を定めるとともに、事業者による 公表などその取扱いについての規律を設けることとされた。 本調査研究では、有識者によるワーキンググループを設置し、匿名加工情報の加工方法 について、複数分野のユースケースを題材として、当該ケースにおける加工の際の課題や 注意事項等を議論するとともに、匿名加工情報の作成のためのプロセスを整理した。 1. ワーキンググループの設置・運営等 1) 委員等の構成 ワーキンググループの委員等の構成は、以下の通りである。 菊池委員に主査を務めていただいた。 <委員> ◎菊池 浩明 明治大学 総合数理学部 教授 寺田 眞治 (株)オプト プロジェクトマネージャー 高橋 克巳 NTTセキュアプラットフォーム研究所 主席研究員 佐久間 淳 筑波大学 システム情報工学研究科 准教授 板倉 陽一郎 ひかり総合法律事務所 弁護士 ◎は主査 <オブザーバ> 個人情報保護委員会事務局(平成 28 年 1 月から) 特定個人情報保護委員会総務課(平成 27 年 12 月まで) 内閣官房IT総合戦略室(平成 27 年 12 月まで) 消費者庁消費者制度課個人情報保護推進室 総務省総合通信基盤局電気通信事業部消費者行政課 <事務局> 経済産業省商務情報政策局情報経済課 (株)野村総合研究所 76 2) ワーキンググループの開催概要 ワーキンググループは、全体で8回開催した。以下に、それぞれの検討会の日程及び議 題について整理する。 ワーキンググループでは、事業者から具体的なユースケースを提供いただいて、それぞ れ複数回討議を行った。 第 1 回(2015 年 10 月 8 日(木) ) WG での検討項目について、等 第 2 回(2015 年 10 月 19 日(月) ) ケーススタディ 第 3 回(2015 年 11 月 9 日(月) ) ケーススタディ 第 4 回(2015 年 11 月 25 日(水) ) ケーススタディ 第 5 回(2015 年 12 月 14 日(月) ) ケーススタディ 第 6 回(2015 年 12 月 15 日(火) ) ケーススタディ 第 7 回(2016 年 2 月 2 日(火) ) ケーススタディ、とりまとめ 第 8 回(2016 年 2 月 26 日(金) ) ケーススタディ、とりまとめ 77 2. ユースケース別の主な討議内容 本調査研究では、電力利用データ、購買データ、移動データの三分野のユースケースを 題材に、各分野における個人情報の取扱の特性を踏まえた匿名加工情報の作成方法につい てワーキンググループにおいて検討した。検討結果は、本報告書の「付属資料2 匿名加 工情報の作成に係るガイドライン作成に向けた一次整理」(以下「一次整理」という。)と してとりまとめた。 本節では、一次整理を補足する事項として、各ユースケースに関するワーキンググルー プでの主な討議内容を整理している。なおワーキンググループにおける検討では、委員提 案によって、予めデータを、 「識別子」、 「属性」、 「履歴」の三種類に分類し、分類ごとに加 工方法を討議した。1 1) 電力利用データ 本調査研究では、HEMS: 「Home Energy Management System(ホーム エネルギー マ ネジメント システム) 」の略称。ECHONET Lite というプロトコルによって家庭の電子 機器と接続し、主として世帯全体の電力使用量をデータ送信する機器を通じて取得された 家庭の電力使用量の匿名加工について検討した。 事業者から、次の二つのユースケースを提示いただき、ワーキンググループにおいて討 議した。 ケース1.電力情報見える化サービスにおける電力利用データの活用 ケース2.電力利用データと家電購買の推計データを用いたエリアマーケティング 各ユースケースの概要、想定されるリスク、加工方法については、巻末の一次整理にと りまとめている。 主な討議内容について以下に示す。 ケース1.電力情報見える化サービスにおける電力利用データの活用 ・ 住所区分の細かさについて、このユースケースでは現状、市レベルでよい。 ・ 顧客に提示される電力利用データの識別リスクは、「事業の用」ではないので,匿名加 工情報取扱事業者の義務は受けない。 ・ 顧客に 1 回に 1~2 サンプル程度の情報を表示するとしても、それを多数回繰り返すと DB ができてしまう。ただ、そのような DB が作れても、それを事業に使わない限りは 法令の規律対象外。 ・ 実際に表示するに当たっては、世帯の属性情報をベースにあまり細かくマッチングする と常に同じ世帯の情報が表示される可能性がある。これを防ぐために、属性情報をベー 1 検討時は、 「識別情報」 「準識別子」 「履歴」と呼称していた。一次整理のとりまとめに際 し、より受容されやすい名称として「識別子」「属性」「履歴」にそれぞれ変更した。 78 スに似ている世帯を十分な数用意し、その中からランダムで表示することを保証する必 要がある。そのための方法は指定しない(しかし,事実上,k-匿名性を満たす必要があ る) . ・ このほか、匿名加工の方法として k-匿名化も独立して用いることができる。 ケース2.電力利用データと家電購買の推計データを用いたエリアマーケティング ・ 世帯内に設置されている家電の情報は ECHONET Lite 規格を用いて HEMS が型番を 取得できる。型番からメーカー等が分かる。ただし、家電の情報は具体的な型番ではな く、 「照明」等のある程度カテゴライズ化された家電の種類の形で利用することを想定 している。 ・ ただし、家電情報は登録日(≒購入日)などと合わさる個人の識別リスクが生じるので、 利用には注意を要する。ただし特定するのは難しいので、結論としてそのままでもよい。 ・ このユースケースは、HEMS のデータを元にあくまで地域ごとの特徴づけ(どのよう な世帯が多いか)を行っているだけで、HEMS の加入者を狙い撃ちしているわけでは ないから、消費者が特定されているのではないかという不安を感じる可能性は低いので はないか。 ・ 対象とする世帯は特定をしないので,ダイレクトメールは送付しないで,ポスティング することを想定している. ・ このユースケースは消費者には直接のメリットがない.苦情が来るリスクがあるかもし れないので,十分な配慮が必要. ケース1,2共通 ・ 電力データは、電力使用量の異常に大きい等の外れ値を除く、仮 ID の付け替えなどを 行って、適切な加工をすることが必要。電力データをどの程度にまとめるのか、仮 ID (匿名加工情報に付する識別子)はどの程度の頻度で生成するのか、というかけ算で判 断が必要。 ・ ここで提示した加工方法は特定の机上で推論したものに過ぎないため、実データを分析 しつつ、総合的に判断すべき。 2) 購買データ 本調査研究では、購買データとしてクレジットカードの利用明細データの匿名加工につ いて検討した。事業者からユースケースを複数提示いただき、最も汎用性の高いものを選 定して、ワーキンググループで討議した。 主な討議内容について以下に示す。 79 ケース Web 家計簿サービスと連携したマーケティングレポート ・ クレカ番号は、ハッシュによる規則性の無い変換でよしとする。クレカ番号を他の番号 に置き換えてからハッシュ変換する方法や、クレカ番号からハッシュ関数で鍵付きハッ シュして生成する方法も考えられる 。ただし、安全管理措置を総合的に判断して講ず ることが必要。 ・ 暗号化は NG。鍵が漏れると全部復元されてしまうことによる。ハッシュは絶対に復元 化できない場合もある。 ・ 決済金融機関の支店名は住所に近いことに留意が必要。事業者としては、決済金融機関 のデータはあまり使いどころが無いのでこだわりはないとのことなので削除する。 ・ 履歴は極めて重要である。履歴から外れ値は削除する。 ・ 「利用日」はそのままの方が望ましい。必ずしも細かいデータから落とさないといけな いわけではない。 (曜日と時間だけで、日付そのものは外すなどの方法もある。 )用途に よる。 ・ 加盟店名が分かると、場所が特定されるリスクがあるので留意が必要。店舗名で市町村 より細かい範囲が分かってしまうと、ロジックが破たんする。ただし、実際には対処す ることは難しい。 ・ 事業者にはデータの有用性が低くなるという懸念があるため、データのスワッピングは 用いない。 3) 移動データ 本調査研究では、移動データとして公共交通機関の履歴データの匿名加工について検討 した。事業者から汎用的なユースケースを提示いただき、ワーキンググループで討議した。 しかし本ワーキンググループの限られた時間内では、データの有用性を確保しつつ、個人 識別リスクを適切に軽減するための方策までは見いだすことはできなかった。 80 3. 今後の検討に向けて 一次整理では、電力利用データ、購買データに関するユースケースにおいて、匿名加 工情報の作成方法をとりまとめた。これらについては、今後公表される匿名加工情報に係 る個人情報保護委員会規則を踏まえた見直しが必要である。 一方、本調査研究の限られた時間内では、移動データについて、データの有用性を確保 しつつ、個人識別リスクを適切に軽減するための方策までは見いだすことはできなかった。 移動データは、個人の動向を外部から観測できるという特徴(外部観測性)があり、これ により本人が特定されるリスクが生じうるという問題がある。このリスクを低減するため の方法として、履歴をスワッピングする、ノイズを付加する等が考えられ、具体的なデー タを元に、継続的に検討していくことが必要である。 また、匿名加工情報の提供先における照合リスクを抑止する方策として、提供先の事業 者との間で、データの再第三者提供を禁止するといった個別の契約を締結することが考え られる。ただし、この方策は匿名加工情報の作成方法の範疇を、超えるものであることか ら、然るべき機関による検討が求められる。 81 付属資料 付属資料1 委員及びオブザーバから寄せられた個別の意見 〇小規模の事業者への対応 ( 「小規模の事業者」の定義) ・我々の団体はそもそも 5,000 人以下の適用に対して反対をしていた。附則 11 条の小規模 の事業者については、5,000 人以下を対象外にしてもらえるように配慮してもらいたい。 ガイドラインに関しては、簡易かつ分かりやすいものにしてほしい。小規模事業者がガ イドラインを見たときにまだ分かりづらいという感想。具体的には、最低限のチェック 項目の一覧表の形で提示していただきたい。また、規定類や書面の作成等を求めるので あれば、そのひな形を作ってもらいたい。(オブザーバ意見) ・小規模な事業者の定義については、幅広く適用除外にしてもらいたい。現行のガイドラ インで取扱事業者とならない“取扱い個人情報が 5,000 件を超えない事業者”を定義と するべきでないか。従来、安全管理措置以外の取得や利用等についても全く対応してい なかった事業者である。ガイドラインの記載については、最低限やらなければいけない ことを明示して分かりやすくしてもらいたい。意識の高い経営者であればガイドライン 通りにきっちりやるので、現行ガイドラインでよい。それに対応できない事業者向けに 最低限の対応を記載してもらいたいという趣旨である。形式としては、現行ガイドライ ンの記載にこだわらなくてもいいのではないか。現行ガイドラインよりも負担や対応し ないと行けないことが増えないように配慮してもらいたい。 (オブザーバ意見) ・小規模の範囲については、取扱個人情報の数の 5,000 件を一つの基準として判断するの ではないか。事業者の従業員数のような規模ではなく、取扱件数をメルクマールに考え るべきである。併せて、対処の例についても工夫が必要。例えば「MAC アドレス」と言 っても事業者が分からないので、分かりやすく伝えてもらいたい。(オブザーバ意見) ・ 「特定個人情報の適正な取扱いに関するガイドライン(事業者編)」の安全管理措置にお ける「中小規模事業者」は、番号法ガイドライン(P50)の注意書きによると、 「個人情報 取扱事業者」が除外されている。法で定める最低限の義務や禁止事項を小規模事業者に も一律に適用するという法改正の趣旨に照らして解釈すると、逆にこの番号法ガイドラ インの中小規模事業者への対応自体が無効になるという考え方もあり得る。そのため、 従業員数等で明示的に小規模事業者を区別して他の事業者と異なる緩和措置を設けるこ とは、改正個人情報保護法の下では現実的に難しいのではないか。(オブザーバ意見) ・事業規模だけで必要となる対応を判断すると、個人情報の数が少ない事業者における負 担が増大します。そこで、業務用機器を中心に扱う会社で、大半は事業者が顧客である が、稀に個人での購入者がいる場合などには、特定できる個人の数は非常に少ないため、 当該事業者の規模にかかわらず、例えば、個人情報を扱うことのできる者を限定する、 個人情報の含まれるファイルにパスワードを設定する、個人情報を紙媒体で保存した名 付 1-1 簿については施錠するなどの対応で可とする旨を示してはいかがでしょうか。 (オブザー バ意見) ・マイナンバーガイドラインでは「中小規模事業者」とは従業員数が 100 名以下である等、 明確になっております。個人情報保護法にて想定されている「小規模取扱事業者」に関 し、マイナンバーガイドラインの定義と同様か、それとも本改正で削除された旧第2条 第3項5号及び政令で定められるものとなるのか、いずれにせよ客観的でわかり易い定 義にしていただきたいと考えます。 (オブザーバ意見) ・先ずは附則の対象となる企業の規模感の摺合せが必要。附則の対象事業所が、改正前に 対象となっていなかった事業所とイコールするのかどうか、ご検討いただきたいと存じ ます。EU等との取引が想定できない、ローカルの事業所(町の蕎麦屋や床屋、塾等々) は対象としてあげられるように配慮いただきたい。 (オブザーバ意見) (小規模の事業者への配慮のあり方) ・このガイドラインと別途に簡易で分かりやすいガイドラインも必要。(委員意見) ・小規模事業者向けのガイドラインが必要かも知れない。(委員意見) ・改正個人情報保護法においては、個人番号の公的な利用に当面限定されるマイナンバー 対応よりはるかに複雑で多様な業務と個人情報が対象となる。小規模事業者に求められ る対応を検討するに当たっては、従業員数等で一律に判断し特例的な対応を認めた番号 法ガイドラインとは一線を画し、各認定個人情報保護団体で特有の業務に即した対応を 判断し、それを個人情報保護委員会が指導するなどの方向性が現実的と考える。 (オブザ ーバ意見) ・本件問題点は、 「当該安全管理措置が求められる本質的な主旨を事業者が理解できるよう な書きぶりになっていない」ということにあると思っています。例えば、番号法におい て物理的安全管理措置として『 「管理区域」「取扱区域」を定めること』や『その手法の 例示』の記載はありますが、 『なぜ「管理区域」「取扱区域」を定めなければならないの か』や『 「その手法の例示」はどういうリスクを排除するために例示列挙されたのか』な どが明確に伝わっていないため、多くの事業者は正確なリスク把握及びそのリスク低減 策としての安全管理措置を施すことができない、という状況に陥っています。結果とし て例示された手法全てを実施しなければいけないと思いこみ、過度な負担を自ら背負い 込む事業者が少なくありません。事例を提出させていただく前段階の、小規模事業者へ の向き合い方として、上述の点に関する認識を持ったうえで議論を深めていただきたい と思います。 (オブザーバ意見) ・中小事業者は、個人情報の使用が多くても専従の担当者を置くことができない場合が多 い。また、IT 技術にそれほど詳しくない。さらに、非常勤者も関わることもある。経済 的で、技術的負担の少ない具体的な安全管理システムの提案が必要。ダメな事例を豊富 に。 (委員意見) 付 1-2 ・小規模取扱事業者に求められる安全管理措置の具体的な手法は、取扱う個人情報の数量 等に配慮したうえで策定していただきたい。 (オブザーバ意見) ・特に小規模事業者向けの安全管理措置や事例についてお願いします。小規模事業者が講 ずべき最低限の措置について、業種等にも配慮した上で、具体的に指し示すことが必要 だと考えます。更に、周知についての十分な時間的配慮と幅広い告知に係わる検討が必 要だと考えます。 (オブザーバ意見) ・小規模事業者の経営者の中には、まだ個人情報保護法を自分たちも守らなければならな いとか、法の概要が分かっていない人も多い。番号法だけでなく個人情報保護法につい ても広報や説明会などを十分にする必要がある。業界団体ではカバーできない事業所も あり、自治体の説明会が必要。従業員教育の手助けも重要。 (委員意見) ・事例はなかなか思いつきませんが、措置のカテゴリに沿って義務を分けてみることが考 えられます。個人事業主であればせいぜい暗号化などの技術的措置しか取ることができ ないと思います。零細事業者であれば(例えば従業員数名の店舗など)、個人情報ファイ ルに pw を付す、顧客に見えないところに端末を設置する、従業員に個人情報管理の入門 パンフレット)を渡して定期的に注意を促す、といった形で、技術的措置、物理的措置、 人的措置のうち実現が見込まれる事項を列挙する方法が考えられます。中小の事業者に 関しては、組織的措置はあまり意味がないと思います。 (委員意見) ・一定の小規模事業者については、基本方針の策定、CPOの設置は免除しても良いので はないか。他方、これまでの経緯に鑑みると、事務取扱担当者への教育の内容を具体的 に示すことが必要ではないか。 (委員意見) ・物理的安全管理措置については、管理区域と取扱区域という区別ではなく、例えば紙媒 体であれば鍵のかかった場所で保管し、持ち出したらすぐに戻す(時間等をチェックす る)等でよいのではないか。 (委員意見) ・安全管理措置等(第 20 条~第 22 条)の説明の冒頭に、以下のような例示を追加する。 (委 員意見) 【本人の個人データが漏えい、滅失又はき損等をした場合に本人が被る権利利益の侵害 の大きさが深刻ではなく(軽微であり) 、事業の性質及び個人データの取扱状況等に起因 するリスクが大きくないと考えられる場合】 (・・・このままでは長すぎて分かりに くいので要簡略化) 事例1) (国会での議論にあるような、お蕎麦屋さんの得意先一覧のようなケース) 事例2) ・・・ ・各々の「講じなければならない事項」に対する「望まれる手法の例示」の中に、「なお 書き」として、上記のような場合についての軽減された対策をそれぞれ記述する。(委 員意見) 付 1-3 記述例)なお、権利利益の侵害の程度が軽微である場合には、 ・・・とすることがで きる。 ・可能であれば、上記の事例に該当するか否かを事業者が判断するためのチェックリス トのようなものを整備できると良い(ただし、事業の性質及び個人データの取扱状況 等に大きく依存するため、一律に定めるのは、なかなかに難しいかと思われます)。 (委 員意見) ・電子データで個人情報を保有せず、第三者提供もしていない小規模事業者は、技術的 安全管理措置は緩和してよいと思う。 (紙の顧客名簿を施錠管理していればOKと する など) (オブザーバ意見) ・以下のように、取扱状況による個人データ漏洩リスクに応じた安全管理対策を示して はどうか。 (オブザーバ意見) 1)ウェブサイトやインターネットに接続したコンピュータで電子的に個人データ を取り扱う場合(F/W,IPS/IDS 導入等) 2)インターネットから隔離された閉鎖環境(スタンドアロン)で電子的に個人デー タを取り扱う場合(ウイルス対策、機器・媒 体管理、暗号化、入退室管理等) 3)個人データの第三者提供・受領を行う場合(同意の取得、トレーサビリティ対応 (確認・記録義務)等) 4)個人情報は電子化せず紙で管理し、第三者提供も行わない場合 (利用目的の掲示、顧客名簿の施錠管理) ・事例についてですが、番号法ガイドラインと同様に、 「取得」 「利用」「提供」「収集」「保 管」 「廃棄」などの各段階において、①守らなければいけないこと(避けるべきリスクが 何なのか)、そして②①を達成するための方法の「選択肢」例という形で示し、 「選択肢」 を全て実施する必要がないこと、事業規模等を勘案し負担できるコストの中からリスク を勘案しつつ選べばいいことを明文化する方法でよいと思います。但し、内閣委員会等 での参考人発言などを見る限り、 「エクセルファイルにパスワードを設定する」という措 置が各種クラックツール(エクセルアナライザーなど)を使えば比較的容易にパスワード 解除ができることや、 「町のおそば屋さんが配達先の名前と住所と電話番号」の紙の顧客 名簿を管理する際、いちいち「鍵のかかる引き出しに管理」することが本当に実情に沿 ったものといえるのか、などは確認・検証した上で対応例を記載するべきだと思います。 (オブザーバ意見) ・「利用目的の制限の緩和」の際にも係ってきた課題ですが、消費者にとって「利用目的」 や「第三者提供」 「安全管理」の客体となる「個人情報」とは何なのか、その認識が事業 者の態度によって歪められてしまっています。事業者から「利用目的を示されたとき」 も「目的外利用の同意を求められたとき」も「第三者提供の同意を求められたとき」も、 付 1-4 その客体は例えば会員登録の際に紙に書いた覚えのある「氏名、住所、生年月日、性別」 などというものだと誤解しているケースが多数です。一方で事業者は、その客体を「す べての個人情報」にしているため「購買履歴・行動履歴・学習履歴・勤務履歴・アクセ ス履歴・交友情報・資産情報」などといったところまで、本人が認識しないうちにコン ピュータによって収集された情報が使われていってしまっています。この問題が、小規 模事業者の場合にはさらに拡大してしまうでしょう。つまり大規模事業者は分かってい てやっているので、自制も働くしリスクマネジメントもなされるのですが、小規模事業 者は分からずにやっているので始末におえない可能性があるのです。小規模事業者に対 して、 「安全管理」を緩やかにしてあげようという方向に向かっているようですが、そも そもの客体である「個人情報」が、例えば会員登録の際に紙に書いた覚えのある「氏名、 住所、生年月日、性別」などという消費者本人も認識のある個人情報であることが条件 であると考えます。 (委員意見) ・安全管理措置のうち小規模事業者が困るであろうものは「委託先の監督」であると思わ れます。小規模事業者が、大手通信会社のインターネットサービスを利用する場合など で、いったい小規模事業者はどのようにして大手通信会社を委託先監督すれば良いのか。 またASPサービスなどを利用する場合(例えば小規模事業者がインターネットのサー ビスを利用して、マイナンバーの保管をしている場合に、そのサービス提供事業者に対 して何をもって選定したら良いのか、契約を交わそうにも利用約款に基づいて申し込ま ない限りはサービスを利用できない場合にはどうしたら良いのか。そういった観点から、 社会インフラとなっているようなサービスに対して委託先監督義務は無いことを示して あげたら良いのではないでしょうか。(委員意見) (小規模の事業者に対する周知の重要性) ・周知については、全国での説明会をきめ細かに行うことが重要。個人情報保護法の施行 時期と、軽減税率の適用が重なると混乱が予想されるので、配慮してもらいたい。 (オブ ザーバ意見) ・周知については、マイナンバーは社会保険労務士や税理士がかなり親身になって指導や アドバイスをしてくれているが、改正個人情報保護法ではそこまでは期待できない。結 果、小規模な事業者の対応には誰も関与しないで流れていくことが懸念される。 (オブザ ーバ意見) ・施行に当たり、小規模な事業者の情報セキュリティやマイナンバーもそうであるが、手 厚く周知・理解を進める研修会やチェックリストの配布などが必要。何かモノができた ので渡したからできる、というものではないと理解している。(オブザーバ意見) (小規模の事業者が個人情報を利活用するために望ましい中長期的な取組み) 付 1-5 ・PIA(ないしチェックリスト)に当たっては、そもそも取得した個人情報をデータベ ース化しているのかどうかからはじまり、①どのような情報を取得しているのか(氏名・ 住所等の一般的に知られている情報か、クレジットカード情報等の機微な情報か、その 事業者でなければ知らない購買情報等を含むか) 、②利用目的が単純・限定されているの か、それとも複雑・多様であるか、③従業員数、取引先、事業所への人の出入りなどの 漏えいの可能性等を挙げてはどうか。(委員意見) ・簡易なチェックリスト等の提示は一定の理解が深まった後には可能であるが、マイナン バー制度における特定個人情報保護評価(PIA)の重点項目評価や全項目評価のような内 容を当初から小規模事業者に求めるのは、そもそも取扱い件数が少なく特定個人情報保 護評価における基礎項目評価レベルに止まるような場合であったとしても、過重な負担 となる懸念があり、実効性に欠けると考える。また、PIA の評価内容を簡易にすることは、 他方で業務毎の特性を排除して、総じて安全側に厳しく評価をすることで逆に基準とし ては厳しくなる可能性があることから、個人情報に関する管理要件を理解する前に 業務 の多様性を考慮しない抽象的なリスク評価を小規模事業者に求めることは、評価実施内 容や対応方針に関する十分な理解が得られにくいため、あまり現実的ではないと考える。 (オブザーバ意見) ・ご提示いただいた資料には、検討の方向性として「小規模事業者が、保有する個人情報 のリスクについて判断ができるような簡易なPIA(チェックリスト等)等を示す」と 記されています。この点について、PIAの手法が十分確立していない現状においては、 「PIAと言えるものではない簡易なチェックリスト」であったとしても、経済産業分 野のガイドラインに載せることにより、小規模事業者に大きな事務負担を課す恐れがあ ると考えます。結果的に、外部のコンサルタントの力を借りなければ不安になるような 事態は招かないようにしていただきたいと要望します。加えて、政府、地方公共団体に おける特定個人情報保護評価の実施により得られた成果をしっかりと評価、検証するこ とが必要と考えます。 (オブザーバ意見) ・各小規模事業者が自社の行動規範を策定するに当たり、これをサポートするために、認 定個人情報保護団体の機能や役割を既存の業種別団体の実情に限ることなく再構成して 小規模事業者向けに充実させ、運用ノウハウや消費者対応のためのリソース、管理シス テムや組織対応の事例の共有などの社会的な対応体制を整備すること、その際に複数の 認証制度やガイドライン、規程類が互いに重複や矛盾点がないようにするとともに、小 規模事業者の行動規範策定において混乱を来さないよう、ワンストップで円滑に対応で きるような体制づくりを考えてはどうか。(オブザーバ意見) 〇個人情報の定義の明確化 (個人識別符号の定義・範囲) 付 1-6 ・ 1号と2号の個人識別符号については、定義の明確化であることをわかりやすく事例も 踏まえて解説をする必要があるが、政令事項が明らかにならないと例示のしようがない ので政令事項を明らかにした上での具体例の検討が必要。(委員意見) ・ 個人識別符号について、その一部を切り出したものが個人情報に該当するかどうか、整 理すべきではないか。 (委員意見) ・ 個人識別符号の範囲が、政令で過度に拡大しないよう要望します。特に電話番号、機器 ID、IP アドレス等「機器に付与される符号・番号」は個人情報に該当しないという、国 会答弁に沿った対応を要望します。また、どの個人識別符号が個人情報に該当するかと いう一律の議論ではなく、法律の趣旨に従って「本人特定性の有無」により、個人情報 に該当するかを判断する「コンテキスト・ベース」での判断ができるよう要望します。 例えば「特定の個人を識別しない身体特徴情報」(例:ぼかした顔画像データ、年代・ 性別のみを識別する顔認識データ等)は、個人識別符号には該当しないことを明確にす るよう要望します。改正個人情報保護法の施行前に、旧法では個人情報に該当すると明 確化されていなかった個人識別符号を既に取得している場合は、過去に遡って個人情報 として取り扱う必要がないことを要望します。(オブザーバ意見) ・ 改正法第2条第2項第2号にある「個人識別符号」の考え方について判断する基準を具 体的かつ明確に示していただきたい。2015 年 5 月の衆議院内閣委員会にて山口 IT 政策 担当大臣(当時)及び向井内閣官房審議官の発言では、 (1) 携帯電話は直接番号を利用する人間にアプローチできるなど個人との結びつ きが強いとしながらも、 「法人契約を含めて様々な契約形態や運用実態がある」 として、法人契約の携帯電話番号の場合は、個人情報には該当しない。 ⇒個人に対して一対一での紐付きが確実でなければ(言い換えれば法人が契約 している場合など、法人等に対して付している可能 性のあるものは)、個人 情報には該当しない。 (2) 個人識別符号に該当するものの例としては、 「マイナンバー」 「運転免許証番号」 「旅券番号」 「基礎年金番号」を挙げており、また、一概に該当するとは言えな いものの例として「携帯電話番号」 「クレジットカード番号」 「メールアドレス」 「サービス提供のための会員ID」を挙げている。 ⇒該当するものは、個人 1 人に対し必ず決まった番号が付される絶対性が約束 されているものが例示とされている。 (3) 個人識別符号に該当するかどうか政令で定める際の基準について「個人と情報 の結びつきの程度」 「情報内容の変更が頻繁に行われないという不変性」「情報 に基づいて直接個人にアプローチできるか」などを加味する。 ⇒基準例示においては、上述の①・②に鑑みて、この3つの観点からは「個人 と情報の結びつきの程度」が最も重視されるファクターであると考えられる。 付 1-7 という3点が読み取れる。 以上のことから、 『 「個人1人に対し必ず決まった番号が付される絶対性」が担保さ れない民間事業者が発行する「サービス提供のための会員ID」 』については、法人 に付している可能性があるものは、一概に「様々な契約形態や運用実態がある」た め、個人識別符号とは言えず、結果個人情報から除外されるものであることを確認 したい。 (オブザーバ意見) ・ 本条改正の趣旨は、対象となる個人情報の明確化であるので、対象が拡大することのな いよう対象を必要最低限度にとどめていただき、明確に(具体的に)限定していただきた い。個人情報の対象、特に”個人識別符号”が現時点で不明確であり、企業にどのよう な影響が出るのかが図りにくいため、早急に、個人情報に該当する情報もしくは要件を 明示していただきたい。 (オブザーバ意見) ・ 携帯電話番号単体は個人情報に含めないこととしていただきたい。携帯電話番号につい ては、変更することが容易であり、また、解約後に別の利用者によって再利用される可 能性があること、さらに、利用期間が限られるプリペイド携帯電話も存在すること等を 踏まえると、単体では個人を識別できる符号に該当しないと考えられるため、その旨明 確化いただきたい。 (オブザーバ意見) ・ 【意見】民間事業者が発行する ID 一般を広く個人識別符号とすべきではなく、その利 用または第三者提供により個人の権利利益が害されるおそれが類型的に認められる範 囲に限定すべきである。また、事業者がその内部で専ら顧客管理のために使用する記 号・数字の羅列については、個人識別符号に該当しないという理解でよいか。【理由】 一般に ID そのものは秘匿性に乏しいものと認識されており、管理に伴う社会的コスト の増大を避ける必要がある。顧客を管理する記号・数字の羅列については、外部の第三 者がそれをもって個人を特定できず、当該記号・数字で個人の権利利益が害されるおそ れがないと考えられるため。 (オブザーバ意見) ・ モノを特定するための識別符号は個人に割り当てられるものではないため、”個人識別 符号”ではないことを明記していただきたい。 (例:車両のVIN(製品番号)・車載器I D) 。仮に、モノを特定するための情報が個人識別符号の対象と判断されるのであれば、 販売前もしくはサービス提供前など、少なくとも、個人の手に渡っていない符号につい て、個人情報として管理すべき情報の対象外としていただきたい。(オブザーバ意見) ・ 従業員番号、顧客番号等について、個人識別符号の対象外としていただきたい。個人情 報漏えいリスクを回避するため、個人に紐付く情報をすべて削除し、”顧客番号のみ” を作業用データとして保存し、端末を持出す際の運用としている場合がある。例:営業 マンが顧客を訪問するために、持出端末の紛失等による個人情報漏洩えい対策として、 顧客番号・住所・要件のみの入った端末を社外に持出す方法をとっている例がある。顧 客番号が単体で個人情報となってしまうと、このような運用をしている多くの企業が、 運用変更を余儀なくされる。また、万一機材等を紛失した際等に、個人を識別できる情 付 1-8 報は一切ないにもかかわらず個人情報漏えい事件として監督官庁への報告・公表・本人 への謝罪等を行わなければならず、企業の負荷が多いだけでなく、顧客等の不要な不安 をまねくことになることを懸念している。仮に、従業員番号、顧客番号等が個人識別符 号となるとしたら、番号のみを漏えいしたが個人を特定できる情報が含まれていない場 合(番号と住所だけの情報の漏えい等)に、”個人情報漏えい事件”と扱われないように届 出や公表の対象から外す等、配慮いただきたい。 (オブザーバ意見) ・ 改正法第2条2項各号に該当する個人情報に、携帯番号・メールアドレス・位置情報な ど、サービス提供のための会員 ID が該当するのか。該当する場合の基準を具体的に検 討して頂きたい。特に個人識別符号につき、第2条第2項各号は、それぞれ政令指定の 要件として「特定の個人を識別することができるもの」である旨規定するが、この識別 特定の主体は、通常人などであるべき。ここにおいてのみ、「特定の個人を識別するこ とができる」の解釈は他の文脈による場合と異ならなければならないものと考える。つ まり、民間の事業者が発行する識別符号のほとんどは、単体のみで存在する限り、当該 事業者内においてしか有効性を持たないものであるところ、これを政令で指定し、取得 したすべての者に画一的に個人識別符号として個人情報として取り扱う義務を課すこ とは不合理。加えて、かかる義務が課せられたとして、第三者の発行する識別符号を取 得した場合でも、個人識別符号に該当するか否かを判断することは極めて困難である。 当該識別符号を発行する事業者においては、容易識別性によってこれを個人情報として 取り扱わなければならないケースがほとんどなのであるから、それで足り得ると考える。 (オブザーバ意見) ・ できうる限りで、多くの例示を行っていただきたい。(オブザーバ意見) (遺伝情報) ・ 遺伝情報など、既に現行法においても個人情報に該当する情報を、たとえ1号個人識別 符号に明示しなくても、個人情報に該当する旨を明記すべき。ただし、経済産業分野ガ イドラインではなく、個人遺伝情報のガイドラインの所掌範囲であるため当該ガイドラ インの改正の際の検討事項か?(委員意見) (容易照合性の判断基準) ・ 容易照合性についてはQ&Aも踏まえ、仮名化してテーブルをもっている事例も個人情 報に該当する事例を書くなど、いわゆる提供元基準の立場を明確にすべきではないか。 (委員意見) ・ 容易照合性の有無を明確に判断できる基準を、具体例を交えて示すべき。(オブザーバ 意見) (本人が認識しにくい利用目的) 付 1-9 ・ 法改正により「個人識別符号が含まれるもの」も個人情報として明確化されたのである が、これについて各事業者に縛りをかけるべきは「移送/送信、利用/加工、保管/バック アップ、消去/廃棄」の工程ではなく「取得/入力」の工程である。個人情報を取得する 際には利用目的の明示・通知等を要するが、1名の相手から度重ねて個人情報を取得す るシーンを考えてもらいたい。例えば、学校で生徒から個人情報を取得するシーンとは どのような場合なのか。入学手続きにおいて生徒は前述のような基本情報を学校に提出 するであろう。この時に学校は「個人情報の利用目的」を明示するが、それは「入学手 続きにおいて取得する個人情報」に限った利用目的を明示するものではなくなっていな いか。 「今後を含め学校が生徒から取得する個人情報全て」に対する利用目的となって いるケースが大半だといえる。つまり入学後に生徒から取得する個人情報(テストの解 答などがそれに当たる)についての利用目的も、入学手続きの際に包括して個人情報の 利用目的明示・通知等が行なわれているという図式である。この図式を改善しない限り は「個人識別符号が含まれるものも個人情報として明確化されたこと」が更なる消費者 の混乱を生むのではないか。例えば、以下のような事例ではどうなのか。 (1)A事業者がBさんを会員登録するにあたって、Bさんから基本情報を取得した。 (2)その際にA事業者はBさんに対して将来Bさんから取得する個人情報(ここに 個人識別符号も含まれるとして)の利用目的も明示した。 (3)その後、A事業者はBさんから個人識別符号も積重ねるように取得していった。 A事業者としては(3)のものについても(1)の段階で利用目的を明示して いたと考えるであろうが、Bさんの立場では(1)で明示された個人情報の利用 目的が包括的に(3)でも当てはめられているとは気付かないのではないか。 この状況を改善するためガイドラインにおいて下記の補足をしていただきたい。 本人に対して明示・通知した利用目的は、本人が認識することなく取得された個 人情報に関しても当てはまるということを本人に対して分かりやすく伝えること。 特に個人識別符号を取得する場合においては、本人が認識することなく取得され るケースが多いので「事業者が取得する個人情報の項目」とその「利用目的」が 消費者に伝わるよう努力すること、またその具体的方法の例示などが必要ではな いか。 (委員意見) ・ 個人情報に該当する事例で「本人の氏名」がありますが、顧客に連絡する連絡票や伝票 類等で「本人の姓(カタカナ表記等含)+電話番号等」も該当するのか改めて確認した い。該当する場合、連絡票や伝票類等は業務上、紙媒体で五十音別に従って整理する場 合があり「個人情報データベース等」に該当する事例になると考える。(オブザーバ意 見) 付 1-10 〇要配慮個人情報 (要配慮個人情報の取扱い) ・ 要配慮個人情報の取扱いが必要な場面もあることから、正当な目的での取扱いは妨げら れていないことを明確にすべき。23条1項各号の具体例はガイドラインに明示されて いるが、要配慮個人情報の取扱いについて根拠となる適用除外法令の例示を追加する必 要がある。 (例えば、犯罪経歴が取得禁止ではあるものの、犯罪収益移転防止法などに 基づいて当該情報を確認することが法的に義務づけられていることから、当該法令に基 づく取得が可能であることを明示することで、取得に躊躇することがないよう解説があ ってもよい) (委員意見) ・ 17 条 2 項 1~4 号の内容は 23 条 1 項各号と同じと当然に考えて良いか、整理が必要で はないか。また、17 条 2 項 5 号は新しい規定であり、考え方を含め、整理する必要が あるのではないか。例えば、報道機関の報道が名誉毀損と判断された場合に、その報道 に含まれる要配慮個人情報を事業者が取得するに際しては、本人同意が必要ということ になるのか(あるいは遡るのか) 。(委員意見) ・ 要配慮個人情報の取扱いにあたって禁止されるのは、当該情報の「原則取得禁止」であ ることについて解説が必要(「取扱い」の禁止と勘違いしている人がいる。ビッグデー タ解析において事後的に分析によって要配慮個人情報に転化する情報が多いため、それ らの取扱いも禁止されるわけではないことを明確にすべき。) (委員意見) 解説案: 要配慮個人情報の取扱いにあたって禁止されるのは、当該情報の「取得時点」に おいて要配慮個人情報に該当する場合であって、取得当初は要配慮個人情報に該当 しない情報が、取得後に他の情報と組み合わせるなどして事後的又は副次的に要配 慮個人情報に該当する場合は含まれない。 ・ オプトアウト方式で個人データを第三者に提供するに際して、当該データに要配慮個人 情報が含まれていないことを確認するよう促すべきではないか。 (委員意見) ・ 要配慮個人情報は「あらかじめの本人の同意」を得ることで取得可能となるが、消費者 にとっては「何に対して同意する」のかが不明瞭である。(委員意見) ※この状況を改善するためガイドラインにおいて下記の補足をしていただきたい。 本人の同意を得る際には「要配慮個人情報の利用目的」 「問合せ窓口」を示して同意 を得るなどとする必要があるのではないか。 要配慮個人情報を取得する都度同意を得る必要があり、1名に対して包括的に1回 の同意を得れば足りるというものではないということを示す必要があるのではないか。 ・ 【意見】 「要配慮個人情報」の取得に必要な「本人の同意」の取得手段は特段限定され ているものではなく、個別事案に応じて、各事業者に任されるとの理解でよいか。【理 由】 書面のみに限定してしまうと、署名が困難な場合を含め、顧客側に負担を強いる 付 1-11 ことになる。 (オブザーバ意見) (要配慮個人情報の範囲) ・ 政令待ちの問題ではあるが、 「病歴」等の範囲や考え方を示すべきではないか。 (委員意 見) ・ 本人の行動・購入の結果、当該本人の信条が推測される可能性があるものについてまで 要配慮個人情報の指定がなされないように配慮されたい。いかなる行動をしたかは、間 接的に本人の信条等を表す場合はあるにせよ、当該本人の動機は種々考えられるところ であり、研究・調査の目的である種の傾向を持った行動をなすことも容易に想定できる。 ・ また、行動履歴の蓄積によって、通常の個人情報であったものが、あるとき要配慮個人 情報に転換し、事業者が予期しえないタイミングで同意を取得しなければならないケー スがあるとするのは、規制としても実効的ではない。(オブザーバ意見) ・ 条文にある、 「本人の人種、信条、社会的身分、病歴、犯罪の経歴、犯罪により害を被 った事実その他本人に対する不当な差別、偏見その他の不利益が生じないようにその取 り扱いに特に配慮を要するものとして政令で定める記述等が含まれる個人情報」を具体 的かつ明確に示してください。特に列挙された内容については、言語学的観点、法律用 語的観点、社会の実情・実態等多角的に内容を踏まえた上で適切に具体的に明確に例示 列挙をお願いします。保険業界を始めとする個人のライフプランに密接に関連するサー ビス(保険や蓄財、住宅ローン等の融資など)を提供する業態には、本人の健康状態とい う「病歴」の情報は不可欠であり、それらサービスの質を低下や停滞を防ぐためにも、 適切な例示のもと事業者が取扱できるようにするべきであると考えます。また、「犯罪 により害を被った事実」については、振込詐欺等の場面において、いち早い被害者救済 および同様の被害拡大防止を考えると、過度な取扱の規制は望ましくないと考えます。 結果として、単純な例示のみなく、実情等に応じた複合的な場面での取扱を具体的に記 載することをお願いします。 (オブザーバ意見) ・ 外見から明白な情報(眼鏡、身長等)は、例えば、相手方の「身体の何らかの特徴」に ついて、メモに書き留めるケース等が容易に想定できるが、その情報を本人の同意のも と取得する必要があるとは考えられないため、除外する旨規定いただきたい。特に、反 社会的勢力との関係遮断の観点から、このような除外規定は必須と考えます。(オブザ ーバ意見) ・ 要配慮個人情報の範囲が、 政令で過度に拡大しないよう要望します。例えば JIS Q 15001 の「機微情報」の定義をベースとして、その中で「会社の労組加入情報」については除 外されることを要望します。また、信用・収入情報等については、カナダを除く諸外国 では機微情報としている例がなく、産業界の実務に与える影響も甚大であるため、除外 付 1-12 されることを要望します。 (オブザーバ意見) ・ 現行の個人情報保護法に準拠し、数多くの国内事業者の間で個人情報保護に係るマネジ メントシステムの規範となっている「JIS Q 15001:2006‐個人情報保護マネジメントシ ステム‐」においては、同様の概念で構成された「機微情報」が要求事項の中で定義さ れている。 「JIS Q 15001:2006」は、工業標準化法に基づき利害関係者の意向を反映し て制定され、永年にわたり多くの国内事業者の人口に膾炙した規格であって、すでに世 の中に定着している内容と考える。したがって政令やガイドラインを定めるにあたって は、JIS に規定される項目や記述に合わせる等の配慮をすることにより、事業者や消費 者等の利害関係者間の調整、合意を円滑に行うことができるものと考える。(オブザー バ意見) <ISO15001:2006(抜粋)> 4.4.2.3 特定の機微な個人情報の取得の制限 次に示す内容を含む個人情報の取得,利用又は提供は,行ってはならない。ただし,こ れらの取得,利 用又は提供について,明示的な本人の同意がある場合及び 4.4.2.6 のた だし書き a)~d) のいずれかに該当 する場合は,この限りでない。 a)思想,信条及び宗教に関する事項。 b)人種,民族,門地,本籍地,身体・精神障害,犯罪歴,その他社会的差別の原因となる 事項。 c)勤労者の団結権,団体交渉及びその他団体行動の行為に関する事項。 d)集団示威行為への参加,請願権の行使,及びその他の政治的権利の行使に関する事項。 e)保健医療及び性生活。 〇匿名加工情報 (匿名加工情報の範囲) ・ 安全管理目的でたまたま匿名化したら、匿名加工情報になってしまうことがあり得る (その結果として 36 条の義務違反となる)のではないか、という懸念がありますので、 こちらにも応えてあげた方がいいと思います。(委員意見) ・ 個人情報と匿名加工情報が区別される理由を明らかにすることが期待されていると思 います。具体的には、①性質上完全に個人情報でなくなっている必要があるから当然に 個人情報でないのか、②匿名加工情報として括りだしたものと、匿名加工前の情報の照 合が 36 条 5 項で禁じられることにより、匿名加工情報は個人識別性がないという評価 を受けるだけなのか、といったことです。 (委員意見) ・ 客観的に匿名加工情報であることが検証できる定義にしてほしい。(オブザーバ意見) 付 1-13 ・ 匿名加工情報の第三者提供をしない場合は、改正法 36 条 3 項に定める「公表義務」の 対象とはならないことを明確にしてほしい。 (統計情報を作成のためや安全管理措置リ スク低減のため匿名加工する場合等)(オブザーバ意見) ・ 第36条3項で定める匿名加工情報作成時の公表について、例えば、社内利用に限って 作成した場合も公表の義務が課せられる可能性があるなど、個人情報委員会規則におけ る公表の基準等が曖昧で分かりにくい場合に事業者内で混乱を招くおそれがあります。 そこで、匿名加工情報作成時の公表の基準等について、ガイドラインにおいて詳細な解 説を示していただきたいと思います。(オブザーバ意見) ・ 【意見】今後、 「匿名加工情報」を作成(再加工も含む)するに際し、本人を識別する ことを目的とせず、委員会規則に基づいた対応を図れば、「匿名加工情報」としていた だきたい。<理由>法第 38 条「識別行為の禁止」では、 「匿名加工情報」の本人を識別す ることを目的に他の情報と照合等を禁じている。また、パーソナルデータに関する検討 会 技術検討 WG において、 「すべてのデータに対して有効となるような具体的な加工方 法を提示することは困難」という結論を出したことから、各事業者等が独自の加工手法 や技術を用いても、十分と判断されるかどうかは定かではない。さらに、その手法や基 準が消費者にも理解されるものであることが事業者としては必要なことから、法律、規 則等に即した対応がなされているか否かで判断されることが、誰から見てもわかり易く 妥当ではないか。(オブザーバ意見) ・ 「匿名加工情報」の用語は、法律の用語として致し方ないのかも知れないが、利用者及 び消費者に分かりやすい概念説明を工夫する必要があると思います。匿名加工情報の加 工方法等については、委員会規則によることとなっているが、事業者に分かりやすい書 き振りとしていただくよう留意されたい。(オブザーバ意見) (仮名化、統計化との関係) ・ いわゆる匿名化、仮名化、統計化と法でいう「匿名加工情報」の関係についてわかりや すく整理する必要があるのではないか(どのような加工利用であれば匿名加工情報とし ての規律を受けないか、示す必要があるのではないか)。 (委員意見) ・ 仮名化を含めるかどうかの議論はどのように整理されるのでしょうか。欧州の議論では、 仮名データも個人情報に含まれるという整理で、義務の軽減に使うことにはあまり積極 的ではないように見受けられます。仮名化は、安全管理措置の文脈で使われていたりも します。 (委員意見) ・ 二条 9 項のカッコ(当該一部の記述等を復元することのできる規則性を有しない方法に より他の記述等に置き換えることを含む)がいわゆる「仮名化」を指していると考えら れるが,この解釈に誤解が生じている.匿名加工に仮名化は含まないと主張している人 たちもいる.仮名化しても,識別(非特定)は出来るので,匿名加工情報の定義に合わ ないことが原因.仮名化には,暗号化などにより識別子を生成して,元の情報を復元で 付 1-14 きるものも含むが,この定義はハッシュ関数などにより,明確に復元不能なものに分類 されている. (委員意見) (公表の在り方) ・ 公表については、一般的なものにとどまらず、できるだけ具体的であること(どの業種 業態ないし個別の事業者にどのような項目を含む匿名加工情報をどのような頻度で提 供しているか等)が望ましい旨記載してはどうか。 (委員意見) ・ 【確認事項】法第 36 条第 4 項に示されている「匿名加工情報を作成して当該匿名加工 情報を第三者に提供する場合、情報の項目並びに提供の方法」が同じであれば、作成の 都度公表することは必要ないと理解してよいか確認したい。 (オブザーバ意見) (委託) ・ 【確認事項】匿名加工処理、又は「匿名加工情報」を取扱う業務を外部に委託する場合 は、 「第三者提供」には該当しないことから、法 36 条第 4 項の義務は生じないことを確 認したい。 (オブザーバ意見) (加工方法の安全管理措置) ・ 加工方法等に関する安全管理措置については、厳格な水準を要求すべきではないか。 (委 員意見) (識別行為の禁止) ・ 第三十八条の禁止行為では, 「加工の方法に関する情報を取得し、又は当該匿名加工情 報を他の情報と照合してはならない」と定められている.照合しても,特定の個人は識 別できない場合もあるので,加工情報の定義に対してこの禁止行為は強すぎる.また, 元の情報を有した個人情報取扱い事業者の持つ個人データとの照合を含んで禁止して いることが見落とされている. (委員意見) ・ 同禁止行為には, 「個人情報に係る本人を識別するために」という条件が付いており, 「識 別しないで(例えば統計を求めるため)」照合するのならばいいのかが疑問.例えば, 暗号技術などにより,復号化しないで相関を求める技術などがあるが,これが適用可能 と考えられる. (委員意見) ・ 属性の一部を推定することがしばしば行われるが,この属性推定は本人を識別するリス クを上げるが,禁止行為とは問われていない.この解釈は正しいか. (委員意見) ・ 【確認事項】法第 38 条では「本人を識別することを目的に~当該匿名加工情報を他の 情報と照合してはならない。 」とされているが、受領した「匿名加工情報」について、 特定の個人の識別を目的とせずデータの価値を高めるために、匿名加工情報を自社の他 の情報と突合することについては問題ないことを確認したい。 (オブザーバ意見) 付 1-15 (加工基準のあり方) ・ ガイドラインでは一般的な加工・提供を想定する以上、業界ごとの個人情報保護指針よ りも厳しめの(ないし抽象的な)書き方をせざるを得ないのではないか。 (委員意見) ・ 委員会規則は、必要最小限の原則的な事項を定め、具体的な加工基準などは、認定個人 情報保護団体が定める個人情報保護指針にゆだねられるようにしてほしい。 (JEITA) ・ 委員会規則が技術的な細目を定めるのではなく、事業者相互のベストプラクティスの共 有などについて協力する方向を目指してほしい。 (オブザーバ意見) ・ 二条 9 項の「当該個人情報を復元することができない」の意味が不確定. 「復元」が未 定義であり,たとえ一部でも復元なのか,全部の加工が復元されることを指しているの かあいまい. (委員意見) ・ 加工の基準については、委員会規則を前提に、1号情報については、①問題となる個人 情報の内容・性質毎の違い(要配慮個人情報を含む場合等) 、②削除・変換の対象となる 注意すべき項目・属性、③削除・変換の程度、④複数の項目・属性について削除・変換を行 うべき場合、について、例示的に望ましい方向を示してはどうか。(委員意見) ・ 2号情報については、個人識別符号を全部削除してもなお、匿名加工情報として扱うの がふさわしくない場合も考えられないか。 (委員意見) ・ 対応表を安全に秘匿していれば、連結可能匿名化情報であっても匿名加工情報として認 めてほしい。 (オブザーバ意見) 〇個人情報保護指針 (指針の作成方法) ・ 同条では, 「消費者の意見を代表するもの」を加えた関係者の意見を聞くことが定めら れている.この消費者の代表者をどのように選ぶのか,十分に意見が聞けるのか,一部 の先進的な消費者の意見で議論が収束しない時はどうするのかなど,疑問が残る.(委 員意見) ・ 指針策定時の「消費者の意見を代表する者」および「その他の関係」の意味、範囲を明 確にする必要があるのではないか。 (委員意見) ・ マルチステークホルダーを導入すると思いますが、加工方法について、委員会規則がど の程度の粒度で定めを置くかによるのではないでしょうか。 (委員意見) (認定個人情報保護団体) ・ 認定個人情報保護団体に対するガイドラインは必要ないか。 (委員意見) 付 1-16 ・ 第五十三条では,認定個人情報保護団体が情報保護指針を定めることが規定されている. 多くの保護団体が認定されている分野(例えば医療)がある一方,団体が少なかったり 領域があいまいな分野(例えば情報サービス)があり,全サービスを網羅できているの か疑問. (委員意見) ・ 複数の認定個人情報保護団体が定める個人情報保護指針の加工基準にバラツキがある と、IoT 事業など業際的な事業において、匿名加工情報を授受する双方の事業者に適応 される基準が異なる場合には、運用上混乱を来します。このような事態にならないよう に、委員会規則は認定個人情報保護団体が加工基準を策定する上での定量的な判断基準 を示していただきたい。 (オブザーバ意見) (その他) ・ 苦情の申出に対する調査・解決要求、指針遵守のための勧告等についても、具体的に記 載する必要はないか。あるいは、事業者向けガイドラインとしては、資料提出要求を拒 む正当な理由の内容や、団体からの勧告等への対応について記載すべきか。 (委員意見) ・ 個人情報保護委員会の認可により、特定の業界において委員会規則を定量的基準に基づ き具体化するような匿名加工方法を個人情報保護指針で定めることを認めてほしい。 (オブザーバ意見) 〇トレーサビリティの確保 (記録義務の例外の明確化) ・ 記録義務が課されない例外を明記したほうがよい。①国の機関、地方公共団体、独立行 政法人等に提供する場合、②法 23 条 1 項各号の第三者提供の例外に該当する場合、③ 委託先等への提供に該当する場合は記録義務が不要。第三者には、外国にある第三者へ の提供も含まれること、提供元の個人情報取扱事業者と法人格が別の関連会社や子会社 も第三者となること、日本の法人格を有する当該事業者の外国支店等は第三者には当た らないことを明記するなど、第三者の事例を修正する必要がある。(委員意見) ・ 委託による提供が第三者提供に当たらないと規定されているので、大半の情報サービス 事業者の業務においては、顧客企業であるデータ管理者との関係において記録保存義務 は生じないことを確認したい。しかしながら、データ管理者の情報システムの構築・運 用を担う情報サービス事業者にとっては、情報システム設計変更や改修に影響する重要 事項であり、技術的に困難な要件が設定された場合には、顧客企業及び業界に多大な負 荷が生じることを懸念する。検討に当たっては、情報システムに依存する事項と適切な マネジメントにより対応可能な事項のバランスを図り、データ主体の意思が常識的に明 確である場合を除外し小規模事業者等にとっても最小限のコストで実現できるよう配 慮する必要があると考える。 (オブザーバ意見) 付 1-17 ・ 現行法では第三者提供時の記録義務がないことから、少なくとも改正法発行以前(第三 者への記録保持義務発生する以前)の第三者提供のデータは、対象外としていただきた いことを強く要望致します。 (オブザーバ意見) ・ 名簿屋対策として個人データの第三者提供に関しては受領者も提供者も一定の記録を 保存しなければいけないというルールは消費者に有難いものとなるであろう。しかし、 改正個人情報保護法の施行以前に第三者提供されたものであった場合には適用されな いことは大きな抜け道になってしまう。改正個人情報保護法施行以降に第三者提供され たものを、改正法施行以前の第三者提供だったとごまかされないよう縛りをかける方法 はあるのか。 (委員意見) ・ 報道機関等、76 条に該当する第三者への提供については、提供事業者が記載を怠った としても委員会が事業者に権限を行使しないことを注記してはどうか。(委員意見) (事業実態に則した記録義務の適正化) ・ 規則待ちではあるが、事業者の負担を合理的な限度に限定する反面、とりわけ包括的な 記録で足りるとする場合には、事後に委員会によるトレースが不可能にならないよう、 提供者側と受領者側の記載の対応関係が明確になるよう努めるものとしてはどうか。 (委員意見) ・ 記録義務の内容については、同一の提供事案における複数回に渡る提供や、同一の事業 者間で反復継続して個人データを提供したりするような場合、ネットワーク関連サービ スにおけるウェブ上での公表としての提供など、上記の①や②を毎回記録することが現 実的ではない場合は、一定の期間内に特定の事業者との間でどのような個人データの移 転をさせていたかを包括的に記載するなど、③の委員会規則で定められる事項によって 対応が可能であることを解説で言及したほうがよいのではないか。とりわけ、ネットワ ークにおいては、ログの分析や照合によって記録すべき事項がわかるようになっている 場合、当該義務を遵守することが事業者の過度の負担とならないよう配慮することが求 められるとの国会答弁を受けた内容をガイドラインで記載することにより、実際に記録 義務を遵守する事業者にとっては具体的な記録義務の内容を理解しやすい。 (委員意見) ・ 記録の作成方法は、書面又は電子データのいずれでもよく、別途特別に紙ファイルやデ ータベースを作成しなくても、年月日、提供の相手方等の記録すべき事項がログや IP アドレス等の一定の情報を分析することによって明らかになる場合には、その状態を保 存すれば足りるということを、委員会規則の内容が固まり次第、ガイドラインにおける 書きぶりを考えるべき。 (委員意見) ・ 同意を取得して第三者に個人データを提供する態様も様々あるのであって、ほとんど共 同利用と同視しうるケースもある。この場合、シームレスな情報の連携がなされていて その都度の記録義務が生じるとしたら、かなり煩雑である。記録するタイミングと頻度 についても事業者の裁量をもって決定できるように規則を定め、かつ、個人データ提供 付 1-18 の態様に応じて場合分け等のなされた柔軟な規定とされたい。ただしこれを画一的に記 録させる場合であって事業者に過度な負担をかけるものであると、付随的な効果として、 (記録義務の生じない)潜脱的な共同利用が横行するのではないかとの懸念もあるので、 ご留意願いたい。 (オブザーバ意見) ・ 確認記録義務の対象となる事項を定めるにあたっては、現に事業者がどういった実行で 個人データの授受を行っているかをよく聴取した上で、事業者に過大な負担を課すこと の無いよう定められたい。 (オブザーバ意見) ・ トレーサビリティの確保という観点からは、何か事故等があった、またはその恐れがあ る場合に、どうデータが流通したかが分かれば十分であるはずであるから、アクセスロ グ等の電子データでも十分用を果たすので、それを明確化するに留め、法第 25 条や第 26 条のためだけに事業者に独立した管理簿等を作成させることのないようにお願いし たい。 (オブザーバ意見) ・ 不特定の者と個人データを売買する名簿業者(有償で個人データを買い取り、オプトア ウトを利用して個人データを第三者に販売する行為)は、売買の都度の確認・記録を必 要とし、一定期間以上の記録保存義務を課す一方、通常の業務遂行、顧客サービス等に 必要な個人データを特定の法人間で継続的に提供する、名簿業者以外の一般事業者につ いては、取引開始時のみの包括的な確認・記録で足り提供の都度の確認・記録は不要と し、一般事業者にとって過度の負担とならない制度設計を強く要望します。(オブザー バ意見) ・ 以下のようなケース等については、本人から第三者提供に係る同意を適切に取得し、取 引・手続き(契約)全体として個人データが授受されることは自明であること、本人が 想定している範囲内での情報の提供であること(本人は提供されている当事者を把握) から、個別のケースの事情を総合的に勘案して、確認・記録の代替や省略を容認するこ とをご検討いただきますようお願い申し上げます。 (オブザーバ意見) ○ある事業者が製品・サービス購入希望者を募り、製品・サービスの提供事業者に紹 介を行うに際し、購入希望者の個人データを提供するケース ○親族間等、特に親密な人間関係において、取引慣行や社会通念上、本人の利益の実 現のために代理や事務代行等を行うに際し、個人データを提供するケース ○従業員が労働契約に基づく職務を遂行するために、または事業者が福利厚生制度を 運営するために、事業者が顧客等に対し、その事業者に所属する当該従業員の個人 データを提供するケース ○事業者が、本人の依頼に基づき第三者(「a」という)に本人の個人データを提供す る場合や、本人の代理人(第三者(「b」という))に本人の個人データを提供する ケース(上記 a、b は本人と一体となって、 「委託」関係と同視できるものと解釈し 「第三者提供」に該当しないものと考える) ・ 個人データの第三者提供に係る確認・記録義務は、事業者にとって実務上の事務負担が 付 1-19 非常に大きいだけでなく、事業者が提供している製品・役務の利用者である消費者にと っても大きな不利益を生じさせるおそれがあると懸念しております。また、本義務と同 様の規制は、海外では見当たらず、国内事業者へ多大な事務負担により、国内事業者の 国際競争力の低下につながることが懸念されます。従って、いわゆる「名簿屋」規制や トレーサビリティの確保の観点から、真に必要と考えられる「オプトアウト」によって 有償で個人データの授受を行う場合に、確認・記録義務の対象を限定すべきと考えます。 法文解釈上、確認・記録義務を限定することが困難であれば、本来、施行を待たずして 法文の改正を行うべきです。それが難しいのであれば、本義務の施行による社会的なコ ストの増加による弊害を検証した上で、現行の実務や仕組みによって記録の代替や省略 を大幅に認め、どうしても記録が必要な場合は確認・記録項目や方法の簡素化を幅広く 認める必要があると考えます。以下のようなケース等については、確認・記録が必要と なる場合でも過度な事務負担の軽減のため、確認・記録義務の項目や方法の簡素化をご 検討いただきますようお願い申し上げます。 (オブザーバ意見) ○電子メールによって個人データを授受するケースは、そのログを記録とする(特に海 外との授受については、認めていただく必要性が高い) ○個人データの本人と提供者の間に人間関係があるケースは、 「取得の経緯」について、 当該間柄(人間関係)の確認でよいこととする ・ 事業者の過度の負担とならないよう配慮するとの国会答弁を踏まえ、規制の目的と手段 のバランスを勘案し、実務負担の適正化を図る観点から、記録の代替・省略・見做しを 柔軟に認めるとともに、確認・記録項目や方法の簡素化についても幅広く認めるべきで ある。 (オブザーバ意見) ・ トレーサビリティの確保で必要となる記録の作成や個人情報受領時の確認手続きにつ いては、個々のやり取りが日常的に発生する場合等に事業者における負担が増大する可 能性があるため、個人データの個々のやり取りを全て詳細に確認・記録することを求め ることはせず、包括的な確認・記録で可とするなど、事業者に過度な負担とならない方 法をガイドラインに記載いただきたい。 (オブザーバ意見) ・ 「第三者提供に係る記録の作成等」 (第 25 条)について、本来は名簿や対策として改正 されたものと認識しておりましたが、損保業界からは、自動車保険の相手が存在する物 損事故だけでも業界全体で年間約 250 万件の保険金支払いを行っている中で、事故報告 者から本人だけでなく事故の相手方の氏名や連絡先などの個人情報を取得する場面が 想定され、交通事故の直後にそのようなやり取りを行うことは、実務上難しいとの懸念 が述べられております。 (オブザーバ意見) (取得経緯の確認事項) ・ 取得の経緯については、本人同意によるかそうでないかを記載するよう努めるものとし てはどうか。 (委員意見) 付 1-20 ・ 平成 26 年に明らかとなった個人情報の大規模漏洩事件における転得者に相当する事業 者による不正取得事案が改正法では適正取得義務違反となるため、取得の経緯からみて 違法な取得に該当する事例について追記してはどうか。 (委員意見) ・ 法令に基づいて適法に取得することができない情報について、例えば、住民基本台帳法 の改正(平成 18 年 11 月 1 日施行)により、住民基本台帳の一部(住所、氏名、生年月 日、性別)の写しの閲覧が何人でも閲覧を請求できるという「原則公開」の閲覧制度は 廃止されているため、DM発送の目的で個人情報を取得することはできないなどの事例 を追加してはどうか。 (委員意見) (本人同意) ・ 本人の同意があっても記録義務は免除されないことを解説に加えておいたほうがよい。 (委員意見) ・ 本人同意が有り、かつ、本人の利益にかなうことが明らかな場合など、一般的な商慣行 や社会通念に照らし、本人からの直接提供と同視するに足りる合理的な理由がある事例 について、第三者提供とみなさず、記録義務の対象とはならないことを明確化する。 (オ ブザーバ意見) (個人データに該当する場合の明確化) ・ 確認・記録義務の対象は「個人データ」となっておりますが、一見して把握できる程度 の情報(1~数件程度)は対象外と解釈できないか(例えば、第三者提供の瞬間は「個 人情報」と見なす等)ご検討いただきますようお願い申し上げます。「一見して把握で きる程度の情報」は、電話や対面において口頭で伝達される情報と同様に、個人情報を キーに検索可能となるように体系的に構成されているわけではありません。「個人デー タ」は個人情報データベース等を構成する個人情報とされておりますが、第三者提供の 瞬間は個人情報データベース等から離れていることから個人情報データベース等を構 成していないと考える余地があります。この考え方を踏まえ、提供元においても第三者 提供の瞬間は「個人情報」と見なして、確認・記録義務は生じないと考える余地があり ます。 (オブザーバ意見) ・ 新たに個人データの第三者提供の確認・記録義務が課されることになったこと、および 提供の瞬間は「集合物」ではないことも踏まえ、25,26 条における「個人データ」の 解釈を柔軟に考えるべき。 (オブザーバ意見) ・ 提供元で個人データであれば、提供先が1件の「個人情報」を取得する場合であっても、 改正法では提供元で個人データに該当するか否かを基準とすることから、提供先におい ては単なる個人情報の取得であっても個人データの提供及び受領に際しての記録義務 を負うことを明記すべき。 (委員意見) 付 1-21 (現行ガイドラインの記載との整合性の確保) ・ トレーサビリティ確保の規定は、個人情報の大規模漏洩事件を受けて経済産業分野ガイ ドライン改正において法改正よりも先にガイドラインの改正を行ったものであるため、 法改正に伴うトレーサビリティ確保の手続との整合性の確保及び平仄を合わせる微調 整が必要。 <ガイドラインの該当箇所は以下の部分> 第三者からの提供(法第 23 条第1項各号に掲げる場合並びに個人情報の取扱いの 委託、事業の承継及び共同利用に伴い、個人情報を提供する場合を除く。 )により、 個人情報(政令第2条第2号に規定するものから取得した個人情報を除く。 )を取 得する場合には、提供元の法の遵守状況(例えば、オプトアウト、利用目的、開 示手続、問合せ・苦情の受付窓口を公表していることなど)を確認し、個人情報 を適切に管理している者を提供元として選定するとともに、実際に個人情報を取 得する際には、例えば、取得の経緯を示す契約書等の書面を点検する等により、 当該個人情報の取得方法等を確認した上で、当該個人情報が適法に取得されたこ とが確認できない場合は、偽りその他不正の手段により取得されたものである可 能性もあることから、その取得を自粛することを含め、慎重に対応することが望 ましい。 上記のガイドラインの提供元の法の遵守状況に関する記述は、遵守状況の確認があく までガイドラインレベルでの要求であったときは、 (例えば、オプトアウト、利用目的、 開示手続、問合せ・苦情の受付窓口を公表していることなど)という例示で問題はな いが、改正法では義務として取得の経緯の確認が義務付けられることから、この例示 では不完全と思われる。また、提供元である第三者は、虚偽の確認事項を示すことが 禁止されることから、意図的な虚偽事項の提示は論外ではあるが、意図せずに虚偽事 項を提示してしまうおそれがあるため、法令遵守の確認事項をガイドラインで明示し ておかなければ、確認事項違反が頻発するおそれがあり、当該手続が形骸化すること にもつながりかねない。 (委員意見) ・ 改正法 19 条で新たに定められた個人データの「消去」に関する努力義務との関係にお いては、提供に係る個人データの消去に関する記録の作成、保存は不要であることが条 文からは読み取れない可能性があり過剰反応が生じるおそれがあるのでガイドライン で解説をしてもよいのでは。 (委員意見) ・ 提供者、受領者が相互に相手方に関する情報を記録し、一定期間それらを保持すること が求められることになるが、実務上の混乱を避けるため、記録すべき情報の内容を明ら かにするなど、ガイドラインで丁寧な説明がなされることが望ましい。(委員意見) 〇オプトアウト規定の厳格化 付 1-22 (本人への通知又は容易に知り得る状態の明確化) ・ HP 上で「本人が容易に知りうる状態に置く」場合には、本人の求めの受け付けへの誘 導が同じページでなされるようにしてはどうか。委員会がウェブサイト等で一覧性ある 形で公表し本人のオプトアウトを容易にするという観点から、「本人の求めを受け付け る方法」について、 「当社お客様窓口」 「当社ホームページ」等ではなく、具体的に個人 情報・オプトアウト専用の電話番号・URL 等を届出するようにすべきではないか。 (委 員意見) ・ 平成 26 年に明らかとなった個人情報の大規模漏洩事件における転得者に相当する事業 者による不正取得事案が改正法では適正取得義務違反となるため、取得の経緯からみて 違法な取得に該当する事例について追記してはどうか。 (委員意見) ・ 本人に通知すべき各事項について記載例を示してほしい。「通知又は容易に知り得る状 態」がどのような場合であるか(例:ウェブサイトによる公表や店頭掲示でよい等)具 体例を記載してほしい。 (オブザーバ意見) ・ 委員会規則で定められる「本人への通知または本人が容易に知り得る状態に置く」方法 について、従来認められている「本人が定期的に閲覧すると想定されるウェブサイトへ の継続的な掲載、事業所内において広く頒布されている刊行物における定期な掲載等」 の方法が今後も認められるよう希望いたします。 (オブザーバ意見) (留意事項の明記) ・ オプトアウト方式で個人データを第三者に提供する際の項目は、当該データに要配慮個 人情報が含まれていないことを明記するよう努めるものとしてはどうか。 (委員意見) ・ 要配慮個人情報の取得にあたっては本人同意を原則とし、個人データの第三者提供の例 外手続としての「オプトアウト」による提供は認められないことを明示すべき。本人同 意に基づく取得が義務付けられ、オプトアウト手続の厳格化が図られたにせよ、本人が 不知のうちに要配慮個人情報が第三者に提供されることによる権利利益侵害のおそれ があることが、当該情報のオプトアウトによる提供を認めない理由であることを解説し てもよいと考えられる。ただし要配慮個人情報であっても、23 条 1 項各号の第三者提 供の例外に該当する場合は、本人の同意を得ることなく個人データを提供することがで きることを明確にして過剰反応を防ぐべき。 (委員意見) ・ 開示等の請求権の明確化のため、第三者提供及び外国にある第三者への提供について手 続違反による第三者提供がなされているとき、第三者提供の停止請求権が新設(30 条 3 項)されている。当該第三者提供の停止手続とオプトアウト手続の違いは、前者は手続 違反による第三者提供の停止を認めるものであって、その請求に理由がある場合に限り 提供停止に応ずることを義務付けているが、後者のオプトアウトは、本人からの求めに より理由の有無を問わず第三者提供の停止に応ずる義務を課している点が前者とは異 なることに留意する必要があることを明確にすべき。(委員意見) 付 1-23 ・ オプトアウト手続に違反した第三者提供は委員会の勧告・命令の対象となることを明示 すべき。 (委員意見) ・ 個人情報保護委員会規則で定める公表事項が委員会のウェブサイト等で公表される予 定となっているが、公表事項の内容によっては事業者の営業秘密に係る情報を推測でき るおそれもあるため、委員会規則による公表事項の内容によっては、ガイドラインで公 表事項の対象となる届出事項の届け出の際の注意事項について言及する必要がある可 能性もある。 (委員意見) (オプトアウトの定義に対する誤解の回避) ・ そもそも、 「オプトアウト」とは何かということについて説明をしてもよいのではない か。 (委員意見) <解説案> 「オプトアウト」とは、第三者提供に係る個人データを本人の求めに応じて第三者へ の提供を停止することにより、本人の同意を得ることなく個人データを第三者に提供 する手続をいう (届出手続きの簡素化・柔軟化) ・ 届け出の手続きに負担がかからないよう、フォーマットや手続きをできるだけ寛容なも のにして頂きたい。 (オブザーバ意見) ・ 個人情報保護委員会への届出手続の簡素化を要望します。例えば、法人番号とオプトア ウト手続を記載した URL を届け出れば足りる等。オプトアウトの届出について、法人 番号とオプトアウトの手続等を記載したウェブサイトの URL だけを届け出ればよいよ う簡素化してほしい。オプトアウトの手続等ウェブサイトの記載内容を変更する都度の 届出は不要としてほしい。 (オブザーバ意見) ・ オプトアウトで必要とされる個人情報保護委員会への届出手続については、個人情報の 適正な取扱いと利活用の推進という改正目的に照らすと、事業者のスピードを削ぐこと がないように考慮することも重要であると考えるため、事業者に過度な負担とならない 方法としていただきたい。 (オブザーバ意見) ・ 委員会規則で定められるオプトアウトの「委員会への届出方法」に関し、一定の基準に 適合した個人情報を順次、第三者提供を行う業務においてオプトアウト手続きを実施す る際には、委員会への届出を作業ごとに逐一行うものとはせず、トレーサビリティ・透 明性が確保される限りで包括的に行うことを認める等、事務コストへの配慮をご検討い ただきたいと考えます。本人通知及び個人情報保護委員会への届出について、個別の提 供ごとの通知や届出ではなく、包括的一般的な通知及び届出で足りるものとすべきでは ないかと考えます。委員会としては、当該事業者がオプトアウトで第三者提供している ことが把握できればよく、万一問題が起きた場合には、その把握した情報にもとづき個 付 1-24 別に調査していくことで解決されるものと考えます。事前に重い届出義務を課すことは、 我が国の事業者の事業環境にとってマイナスとなる恐れが高いと思われます。個人デー タの提供を受ける主体が、提供元に代わって委員会への届出を行うことも可能となるよ う、ご検討いただきたいと考えます。(オブザーバ意見) ・ オプトアウト手続きについて、委員会への届出が義務化されることによって、事業者の 事務負担の増大が懸念されることから、以下のような負担軽減策をご検討いただきます ようお願い申し上げます。 (オブザーバ意見) 所定の事項の「本人への通知」は、本人に知らせる最も効果的な方法であるため (委員会へ届出しその後公表されるよりも効果的) 、この場合は届出・公表義務を 履行しているものと見なす。また、 「本人が容易に知り得る状態に置く」方法とし て、 「本人が定期的に閲覧すると想定される社内 LAN や掲示板への継続的な掲載、 または事業所内において広く頒布されている刊行物における定期な掲載等」の方 法を採る場合も、インターネット上のウェブサイトに単に掲載するよりも本人に 効果的に知らせることができるため、「本人への通知」する場合に準じた取り扱い を行う。いずれにしても、インターネット上のウェブサイトに単に掲載する場合 よりも本人へ到達する可能性が高い場合、届出の緩和をすべき。 オプトアウト手続き後、委員会への届出内容に変更がなければ、一定期間の届出 をしているものとみなす(例:当初届出後、数年間は届出しているものとみなす) 委員会への事後届出の容認(例:オプトアウト完了の翌月末までに届出 等) オプトアウト手続き実施者に代わり、そのオプトアウト手続きによって作成され た個人データの取得者による、委員会への届出の容認 「容易に知り得る状態に置く」手段として、インターネット上のウェブサイトに 掲載している場合、届出項目は当該ウェブサイトの URL に止める (その他) ・ 名簿屋対策として、個人情報保護委員会への届出だけでなく、許可を得ないと第三者に 有償提供(販売)できないように検討してほしい。 (オブザーバ意見) (例:古物営業法の対象とし、警察の監督下におくなど) ・ 諸事情により「厳格化」と言う記述にされたものかと思われますが、事業者向けに説明 される際には、 「○○を行えば、第三者提供が可能」と言ったように、否定ではなく肯 定的な記述としていただいた方が、より理解しやすくなると思います。(オブザーバ意 見) 〇外国事業者への第三者提供 (適用対象となる第三者の範囲の明確化) 付 1-25 ・ 外国事業者と言ったときに、向井審議官は法人格を前提に説明されているが、法人格を 持つことが所与の前提の解釈になるか否かは考えておくべき。小規模事業者が議論にな っているにもかかわらず、ここでは法人格を持つか否かの議論をしている点が気にかか る。 (委員意見) ・ クラウドやデータセンターを利用する場合、そもそもこれが提供に当たるかという話も あるかもしれないが、例えばクラウドの場合などは委託に該当するという形で整理され ているのかなと思っている。ここで考えなければいけないのは、「外国にある」という 文言の範囲をサービスの形態で整理していくことは、このガイドラインの課題なのかな と思う。管理者の所在地や、先ほど法人格の設立準拠法あるいは、そのような意見はあ まりないと思うが、ベンダーの設立準拠法で決めるのか、あるいはサーバーの所在地等 である。 (委員意見) ・ 多くの企業において、従業員や顧客データを「容易に同一と見なしうる」企業間で共有 することはサービスを提供する上で必須です。例えば、海外旅行中である日本人や現地 で勤務する従業員(日本人、外国人問わず)に関する情報を参照できないことになれば、 業務上の支障となります。これらの事務は、現地の事業所、提携先、合同出資先、協力 企業群を通じて行われるため、一律に「他国への情報移転」として同一の規律を課すこ とはサービスの提供停止にもつながりかねない大きな影響が生じます。また、海外にも 事業を展開している多くの企業では、各国に存するグループ企業や事業所を含めたグロ ーバルな人事施策に基づく人事管理が必要で、現地の従業員情報の参照は業務上必須と なります。このようなケースも、「他国への情報移転」とするのは適切ではないと考え ます。 (オブザーバ意見) ・ 適用基準が複雑であると、事業者における判別が難しく、事業者内において混乱を招く おそれがあります。そこで、第24条で適用を除外される者については、事業者が適用 除外範囲を判別できるよう、ガイドラインにおいて詳細な解説と具体的事例を示してい ただきたいと思います。 (オブザーバ意見) ・ 国境を越えた適用に当たっては、データ処理の目的について決定権を持たない処理事業 者(プロセッサ)については、欧州の規制及び APEC の基準では、管理事業者(コン トローラ)とは別の実態に即したルールが設けられており、経済産業分野のガイドライ ンにおいても、そのコントローラとプロセッサの業務の違いを認識し、それぞれに対し て適用されるルール構成が必要と考える。また、APEC のプロセッサ向けプライバシー 認定(PRP)17 項目を例に、プロセッサ同士の海外データ移転についても、パートナ ープロセッサへ提供する場合は、個人情報保護レベル同等性確認の手順をコントローラ 向けとは別立てとし、円滑な運用となるよう規定してほしい。(オブザーバ意見) ・ データのアクセス権の問題がある。物理的なサーバーはアメリカにあっても、日本から しかアクセスできないというときに、(サーバーへの個人情報のアップロードを)移転 とするかどうかという議論がある。 (オブザーバ意見) 付 1-26 (取得すべき同意内容の明確化) ・ 事前に外国にある第三者への提供にかかる同意の取得が必要という場合の、その同意と いうのはどういう同意のやり方があるか。単に外国にある第三者への提供について同意 しますということなのか、どこそこの国について、どこそこの国にある第三者への提供 に同意しますということなのかとか。ガイドラインでやはり書いたほうがよいのではな いか。 (委員意見) (適用除外への要望) ・ 個人情報保護規則の定めを踏まえ上で、経済産業分野のガイドラインに第 24 条の適用 除外事例として、下記(1)~(3)を規定してほしい。 (1) 提供元、提供先が同一企業グループの現地法人、事業所、資本提携先等であり、国 内で有効な同等のプライバシーポリシーに従っていることを示せる場合 (2) 提供先が APEC プライバシー・フレームワークを基本として策定されている CBPR や PRP、ISO27000 シリーズ、EU の BCR、インドの DPF などのうち、あらかじめ国 内で認知された認証基準・指針・標準に準拠していることが示せる場合 (3) これまでの協業実績と契約における規定から見て提供先の個人情報保護レベルにつ いて十分であることを随時説明できると考えられる場合 (オブザーバ意見) ・ 移転相手の継続的保護措置の確認について、提携先や委託先との間での保護措置の内容 を定めた契約の締結や、グループ企業間でのプライバシーポリシーの共有により、移転 相手の継続的保護措置の確認を行ったものとすることを明示していただきたく存じま す。併せて、予め国内で認知された認証基準・指針・標準に準拠していることを示すこ とができる場合も同様とすべき。(オブザーバ意見) 〇国境を超えた適用等 (適用関係の整理) ・ 外国事業者への第三者提供に当たる場合と、域外適用に当たる場合の事例分けが必要だ と思います。 (委員意見) (適用対象となる外国事業者の行為) ・ 標的基準に沿って第 75 条の文言を解説していくことになると思いますが、外国の事業 者がどの時点から日本の規制を遵守しなければならないのか、という点は論点とされて いますので、丁寧に説明する必要がありそうです。 (委員意見) ・ 日本向けにサービスを提供している海外事業者にも、日本の保護法が適用されることは 付 1-27 賛成。ただし、厳しすぎる規制や日本独自の規制を設けることによって、日本法の適用 を避けるために日本へのサービス提供が行われなくなるなどの日本のユーザーが損失 を被る自体となることとならないよう常に留意してほしい。 (オブザーバ意見) 付 1-28 付属資料2 今後の検討に向けて(石井委員提出資料) 付属資料3 匿名加工情報の作成に係るガイドライン 作成に向けた一次整理 2016 年 3 月 匿名加工情報の加工方法等に係るワーキンググループ ※本資料の取扱上の注意 本資料は、経済産業省委託事業「平成 27 年度我が国経済社会の情報化・サービス化に係 る基盤整備(経済産業分野を対象とする個人情報保護に係る制度整備等調査研究)」で実施 した「匿名加工情報の加工方法等に係るワーキンググループ」の検討成果をとりまとめた ものです。 匿名加工情報の作成は、個人情報保護委員会が委員会規則で定める基準に従う必要があ りますが(平成 27 年改正法全面施行後の個人情報保護法(以下,単に「個人情報保護法」 という。 )36 条 1 項) 、本資料作成時点(2016 年 3 月)では、同基準は公表されておりませ ん。このため、同ワーキンググループでは、個人情報保護法の条文を踏まえつつも、委員 会規則で定められる基準とは関わりなく、匿名加工情報の作成のあり方を討議し、その結 果を本資料にとりまとめています。なお同ワーキンググループでは、必ずしも全委員の意 見が一致するまでには至らなかったため、異議のあった内容については、注釈を付記して います。また、本資料で示す匿名加工情報の作成方法は、主に電力データ、購買データの 特定のケースを基にして作成したものであり、取り扱うケースによっては、応用すること が適切でない場合も想定されることに留意して参照ください。 本資料は、あくまで一般的な情報提供を目的としており、個別の専門的助言を提供する ものではありません。利用者が本資料を利用したことについて生じる結果について、事務 局及びワーキンググループ関係者は一切責任を負うものではなく、本資料の内容について、 実施を検討する事業の実施可能性及び適法性、特定目的への適合性等、一切の保証を行い ません。利用者は、行おうとする匿名加工情報の作成について、必ず事前に、利用者の法 務部門、弁護士、ビジネス・アドバイザー等の専門家にご相談ください。 目 次 1. 目的及び適用範囲 ............................................................................................................... 1 2. 用語の定義 .......................................................................................................................... 2 3. 加工方法に係る検討の手順................................................................................................. 3 1) ユースケースの明確化 .............................................................................................. 4 2) 識別子、属性、履歴の仕分け ................................................................................... 6 3) 個人識別に係るリスクの抽出 ................................................................................... 8 4) 個人識別に係るリスクを踏まえた加工方法の検討 .................................................. 10 4. 匿名加工情報の加工の事例 .................................................................................................. 14 4.1 電力利用データの事例 ................................................................................................. 14 4.2 購買データの事例......................................................................................................... 22 参考資料 1. 匿名加工情報の加工方法等に係るワーキンググループ 委員等名簿、開催概要....... 27 2. 匿名加工技術に係る用語説明 ....................................................................................... 29 1. 目的及び適用範囲 本資料は、個人情報保護法に基づき、個人情報を加工処理して匿名加工情報を作成する ための方法に関する具体的な手順を示すことを目的に作成したものである。加工方法以外 の匿名加工情報取扱事業者に課される規律(匿名加工情報に係る公表、識別行為の禁止、 安全管理措置 等)については、本資料では取り扱わない。また、法文の解釈も本資料の 対象外である。 匿名加工の要求レベルは、個人データを取り扱う業種や利用形態等によって判断される べきもので、普遍的な基準は存在せず,個人情報保護法においても認定個人情報保護団体 の指針等が複数定められ,実用に供されることが想定されている。 このため、本資料では、ケースバイケースで匿名加工の要求レベルについて検討するこ とを前提に、そのためのプロセスを示すとともに、各プロセスにおける留意事項を提示し ている。 1 2. 用語の定義 識別子 個人データを構成する情報であって、単体で個人を特定する可能性のある情報。 例:氏名、住所、会員番号 等 注)個人情報に該当しないデータであっても、識別子に該当する場合(例:アカウン ト ID、端末 ID 等)があり、個人識別リスクを踏まえて判断する。 属性 個人データを構成する情報であって、経時的にデータが積み重ねられることのない情報 で、単体では個人を特定することができないものの、他の属性との組み合わせや外部の情 報との照合によって、個人を特定する可能性のある情報。 例:性別、年齢、郵便番号、家族構成 等 履歴 個人データを構成する情報であって、個人の行動の履歴を蓄積したものをはじめ、経時 的にデータが積み重ねられる情報で、一般に単体では個人を特定することができないもの の2、他の属性との組み合わせや外部の情報との照合によって、個人を特定する可能性のあ る情報。 例:ウェブの閲覧履歴、購買の履歴 等 図表 1 識別子 識別子、属性、履歴の関係 属性 履歴 アカウントID|氏名|性別|年齢|購買品1|購買品2|... 2 ただし、音声対話履歴のように、 「氏名・住所を順に聞き出す」内容を含むデータは、履 歴であっても、単体で個人を特定する可能性がある。 2 3. 加工方法に係る検討の手順 匿名加工情報を作成するための加工方法は、1)ユースケースの明確化、2)識別子、 属性、 履歴の仕分け、3)個人識別に係るリスクの抽出、4)個人識別に係るリスクを 踏まえた加工方法の検討 の4つの検討プロセスから構成される。 以下では、各検討プロセスの詳細について解説する。 図表 2 加工方法に係る検討プロセスの全体の流れ 1)ユースケースの明確化 2)識別子、属性、履歴の仕分け 3)個人識別に係るリスクの抽出 4)個人識別に係るリスクを踏まえた加工方法の検討 3 1) ユースケースの明確化 匿名加工の要求レベルは、個人データを取り扱う業種や利用形態等によって判断される べきもので、普遍的な基準は存在しない。すなわち、ケースバイケースで匿名加工の要求 レベルについて検討する必要があることから、加工方法に係る最初の検討プロセスとして、 ユースケースを明確化する。 ユースケースの明確化に当たっては、まず次の項目を整理する。 1. 匿名加工情報を用いる業務・サービスの概要 2. 匿名加工情報の作成に用いる個人情報データベースのデータ項目、規模等 個人情報データベースによって識別される個人の人数 データ項目の内容(カテゴリなどの離散値、年齢などの整数値、支出などの連続値、 燃費などの実数値など別、及びデータ項目の内容及び取り得る値の集合、最小値、 最大値など) 3. 匿名加工情報に含める必要のあるデータ項目、規模(データ件数) 4. 匿名加工情報の提供先事業者 図表 3 業務・サービス名 業務サービスの 概要 特定される 個人の総数 ユースケースの概要 顧客属性(性・年齢・年収)に応じた購買データの外販 保有する顧客の購買データを性・年齢・年収などの属性情報で分析を実施、結果を提供 ●万人 データ種別 顧客属性デー タ データ件数 データ項目 項目 備考 契約者ID 11桁数値 性別 男女 分布 生年月日 yyyymmdd 分布 電話番号 10/11桁数値 分布 勤務先 カテゴリ 分布 年収 値 最大/最小/平均 決済金融機関 名称 分布 住所 名称 分布 契約者ID 11桁数値 利用日 yyyymmdd 利用加盟店名 名称 購入商品 名称 支払金額 値 ●万件 個人情報 利用明細デー タ 匿名加工情報の 利用目的 匿名加工情報の 提供先の第三者 ●千万件 マーケティング用統計の作成 ■ 大手小売事業者 ■ 市場調査会社 4 最大/最小/平均 次に、ユースケースを具体的にイメージすることができるように、以下について整理す る。 ・ 個人データの収集、個人データの加工による匿名加工情報の作成、匿名加工情報の利 用・提供という一連のデータの流れのわかるユースケースの全体イメージ。 ・ 取り扱う個人情報データベースのデータサンプル 図表 4 ユースケースの全体イメージ ●顧客の情報 ・氏名・電話番号 ・生年月日・性別 ●カードの利用明細 ・利用日時 ・利用額 分析レポート ●消費者の情報 ・-------------・生年月・性別 ●カードの利用履歴 ・利用日時 ・利用額 ------------------------------ カード会社 ④ A社 発行 加盟店 分析レポートの提供 会員カード カード利用 消費者 消費者に関する情報 ② 購買(POS) ③ 分析レポートの 作成 データの提供 B社 ●カードの利用履歴 ・利用年月日 ・購入商品名 ・利用額 ① 買い物利用 ※丸数字は、情報の処理・流れ 図表 5 匿名加工情報の作成に用いる個人情報データベースのサンプルイメージ ①顧客属性データ 契約者ID 53012602 53597201 81567824 氏名 野村太郎 山田花子 佐藤一郎 性別 生年 月日 電話 番号 勤務先 決済金融 機関 年収 住所 郵便 番号 都道 府県 市区 町村 町名・丁 目・番地 アパート・マン ション・ビル 男性 1987年 10月12日 03-222-5555 AA商事 450万円 みずほ 100-0005 東京都 千代田区 丸の内1-6-5 丸ノ内北口ビル 女性 1990年 5月23日 090-4447777 270万円 三井住友 116-0002 東京都 荒川区 荒川2-3-6 男性 1968年 8月19日 03-123-4567 C区役所 530万円 スルガ 111-1111 東京都 港区 六本木1-2-3 ビバリー六本木 BB保険 ②利用明細データ 契約者ID 利用日 利用加盟店名 53012602 2015年10月15日 丸の内店 購入商品 支払い金額 12,000 53012602 2015年10月16日 荒川店 50,000 53012602 2015年10月17日 六本木店 250,000 5 ハイツ荒川 2)識別子、属性、履歴の仕分け 前プロセスで整理した取り扱うパーソナルデータのサンプルデータの各データ項目が、 識別子、属性、履歴のいずれに該当するものかの仕分けを行う3。 仕分け作業は、識別子→属性→履歴の順に、次の各項目に留意して行う。 識別子 ・ データ項目のうち、単体で個人を特定する可能性のある情報を抽出する。 ・ アカウント ID や端末 ID など、個人情報に該当しないデータであっても、単体で個人 を特定する可能性のある情報は、識別子として仕分けする。 ・ 住所は、詳細(番地や住居番号)まで含める場合は、個人を特定する可能性があるため、 識別子として仕分けする。 属性 ・ データセットから識別子以外のデータ項目のうち、他の属性との組み合わせや外部の情 報との照合によって、個人を特定する可能性のある情報を抽出する。 ・ 住所は、詳細(番地や住居番号)まで含めずに、一定の曖昧さを含むレベルまで利用す る場合(例:都道府県と市町村まで)は、属性として仕分けする。ただし、ユースケー スによっては、市町村レベルまでであっても個人を特定する可能性はあるので、注意が 必要である。 履歴 ・ ウェブの閲覧履歴、購買の履歴等、個人の行動の履歴を蓄積したものをはじめとする一 般に識別子又は属性と組み合わされない限り個人を特定する可能性のない情報が該当 する。 ・ ただし、履歴であっても、特異な値や傾向から個人が識別されたり、長期間あるいは大 量のデータの蓄積によって個人の識別性が生じてくる場合があったり、位置に関する情 報を含むことによって、本人にアプローチされるリスクが生じてくる場合があったりす るため、留意が必要である。こうした個人識別に係るリスクが生じるかどうかは、次ス テップで慎重に評価することが必要である。 3 なお「識別子」 「属性」 「履歴」の区分は,適切に匿名加工を行うための便宜的なものであ り,加工を行うデータの内容や構造,得ようとする結果との関係で仕分けを行う必要があ る。そのため,データの項目名から一意に仕分けができるものではなく,適切な加工がで きない,又は結果が得られない場合には仕分けを見直す必要の生じることも想定される。 6 図表 6 識別子、属性、履歴の仕分け作業のイメージ 属性 識別子 ※住所は全て揃うと識別子 ①顧客属性データ 契約者ID 氏名 性別 生年 月日 電話 番号 勤務先 決済金融 機関 年収 住所 郵便 番号 都道 府県 市区 町村 町名・丁 目・番地 アパート・マン ション・ビル 53012602 野村太郎 男性 1987年 10月12日 03-222-5555 AA商事 450万円 みずほ 100-0005 東京都 千代田区 丸の内1-6-5 丸ノ内北口ビル 53597201 山田花子 女性 1990年 5月23日 090-4447777 270万円 三井住友 116-0002 東京都 荒川区 荒川2-3-6 81567824 佐藤一郎 男性 1968年 8月19日 03-123-4567 C区役所 530万円 スルガ 111-1111 東京都 港区 六本木1-2-3 ビバリー六本木 BB保険 ②利用明細データ 契約者ID 利用日 利用加盟店名 53012602 2015年10月15日 丸の内店 12,000 53012602 2015年10月16日 荒川店 50,000 53012602 2015年10月17日 六本木店 250,000 識別子 購入商品 支払い金額 履歴 7 ハイツ荒川 3) 個人識別に係るリスクの抽出 前プロセスまでに整理したユースケース、識別子、属性、履歴の仕分け結果を踏まえ、 個人識別に係るリスクを抽出する。 個人識別に係るリスクとは、以下の4つを評価の対象とする。 (評価対象とする個人識別に係るリスク) ・ 個人が特定されるリスク ・ 個人の属性が推定されるリスク4 ・ データが他の情報と照合されるリスク ・ データを用いて本人へアプローチされるリスク5 個人識別に係るリスクの抽出作業は、識別子→属性→履歴の順に、次の各項目に留意し て行う。 識別子 ・ 識別子として仕分けされたデータ項目は、文字通り、個人識別のリスクが高いものであ るため、原則、削除するか、安全な方法で、不可逆的に変換すべき対象として認識する。 ・ なお、個人データから、識別子を削除又は不可逆的に変換する処理(仮名化)だけでは、 個人識別に係るリスクを十分に低減できない場合もあり、そうした場合は、以下の属性 や履歴の加工処理も必要である。 属性 ・ 一般に、複数の種類の属性が組み合わされると、個人識別のリスクは高くなる。具体的 なユースケースを踏まえ、どの属性とどの属性が組み合わされると個人識別のリスクが 高くなるものかについて評価する。組合せの数を算定したり、k-匿名性を算定したりし て評価する。 ・ データセットに対して、属性の値がどの程度の分布になっているのかについても評価し、 極めて頻度の小さい値がある場合は、個人識別のリスクが高まるものとして抽出する。 ・ 同じ組合せの属性を有する他のレコードの履歴や当該属性と照合可能な外部情報があ 4 「個人の属性が推定されるリスク」は、個人の特定を伴わないものであることから、対象 外とすべきという意見もあり、要配慮個人情報や一般に他人に知られたくないような情報 を推定する場合に限定することを想定。なお個人の属性を推定することは、匿名加工情報 の作成に用いられた個人情報の一部を復元することにつながるため、個人情報の本人の識 別までには至らないものであることが前提である。 5 個人識別符号への該当性の判断要素の一つとして本人到達性が挙げられている。 (出所「一 問一答・平成 27 年個人情報保護法」 、商事法務) 8 る場合には、個人の属性が推定される可能性がある。推定される可能性のある属性が、 要配慮個人情報や一般に他人に知られたくないような情報の場合は、リスクとして認識 する。 ・ 他の情報と照合されるリスクは、市販のデータベースなどの照合可能な外部情報が存在 するかについて評価する。例えば、住宅地図などの外部情報を用いることによって、住 所から切り出した属性と照合される可能性について評価することなどが該当する。さら に匿名加工情報の提供先となる事業者を限定する場合においては、当該事業者が照合可 能なデータを有しているかどうかについて評価する。6 ・ ダイレクトメールや訪問販売等によって、本人へアプローチされるリスクは、主に位置 に関する情報が該当し、自宅や職場の地域が属性を組み合わせることで絞り込まれる場 合、リスクとして認識する必要がある。 履歴 ・ 特異な値や傾向から個人が識別されたり、長期間あるいは大量のデータの蓄積によって 個人の識別性が生じてくる場合があったり、位置に関する情報を含むことによって、本 人にアプローチされるリスクが生じてくる場合があったりする。このため、履歴であっ ても、無加工で利用できるものではないことに十分留意する必要がある。 ・ 特異な値や傾向を持つ履歴は、個人識別性が高いものとして特異値に係るリスクとして 認識する。例えば、非常に高額な商品や稀少な商品を購入した場合の購入履歴などが該 当する。 ・ 一個人に対する長期間のデータ蓄積、又は大量のデータ蓄積によって、個人の識別性が 生じる可能性がある場合は、データ規模、期間に係るリスクとして認識する。 ・ 特に、履歴を継続的に提供する場合、履歴を照合することで、突合できる場合も考えら れるため、履歴の継続的提供を想定するユースケースの場合は、リスクとして認識する。 ・ 位置情報に関する情報が、個人を識別する可能性のある粒度の場合、個人が識別される リスクとして認識する。例えば、詳細な GPS 情報の履歴を蓄積すると、自宅や職場の 場所が識別されるリスクがある。 6 提供先となる事業者が照合可能なデータを有しているかどうかまでは、評価が困難である という意見もある。 9 4) 個人識別に係るリスクを踏まえた加工方法の検討 個人識別に係るリスクを踏まえ、適切な加工方法を検討する。 前プロセスで抽出した個人識別に係るリスクについて、識別子→属性→履歴の順に、次 の各項目に留意して適切な対処を検討する。 図表 7 個人識別に係るリスクを踏まえた加工方法 個人識別に係るリスク 加工方法 識別子 識別子として仕分けされたデータ項目 は、文字通り、個人識別のリスクが高 いものであるため、原則、削除するか、 原則、削除するか、安全な方法で不可 逆的に変換する。 履歴と照合するための ID(匿名加工情 安全な方法で、不可逆的に変換すべき 報に付する識別子)として継続的に用 対象として認識する。 いる場合は、その生成方法、有効期間 の両方に配慮が必要である。 〇匿名加工情報に付する識別子の生成方法 秘密の文字列を加えてハッシュ化 7 す る方法が有効である。 8 〇匿名加工情報に付する識別子の有効期間 匿名加工情報に付する識別子の有効期 間は、属性、履歴も含めて考慮した個 人識別性に係るリスクを踏まえ、適切 な期間に限定することが不可欠であ る。 7 ハッシュ化は、暗号化とは異なり、入力値から誰でも計算できる種類の処理である。不可 逆的な(一方向の)変換ではあるが、識別可能な値を生成する。 8 匿名加工情報に付する識別子は、個人と必ずしも一対一対応ではなく、a)一人が複数の 識別子に割り当てられる場合、b)複数人が一つの識別子に割り当てられる場合、などがあり える。 10 個人識別に係るリスク 加工方法 属性 一般に、複数の種類の属性が組み合わ 属性は、 k 匿名化、サンプリング、置 されると、個人識別のリスクは高くな 換え、一般化、カテゴライズ化、特異 る。具体的なユースケースを踏まえ、 値の削除(トップ/ボトムコーディン どの属性とどの属性が組み合わされる グ)等を行って、属性子同士を組み合 と個人識別のリスクが高くなるものか わされても、十分に個人の識別リスク について評価する。組合せの数を算定 が低減できるレベルまで加工する。 したり、k-匿名性を算定したりして評 価する。 〇k 匿名化: データセットに対して、属性の値がど データセットに含まれるすべての属性 の程度の分布になっているのかについ の項目を勘案し、k 匿名性の指標を用 ても評価し、極めて頻度の小さい値が いて個人識別に係るリスクを判定す ある場合は、個人識別のリスクが高ま る。 るものとして抽出する。 〇サンプリング: データセットから無作為にサンプリン グを行うことで、個人識別に係るリス クを低減する。データセットにおける 各属性の分布状況を踏まえ、サンプリ ング比率を調節する。 属性に、頻度の極めて小さい値のある ことが明らかな場合は、他の値と一体 にしてカテゴリ化を行う、データセッ トの大きさを広げる、等の対応を行う。 他の情報と照合されるリスクは、市販のデ 属性の一般化、カテゴライズ化は、市 ータベースなどの照合可能な外部情報が存 販のデータベースなどの照合可能な外 在するか、あるいは匿名加工情報の提供先 部情報の存在や、提供先となる事業者 となる事業者が照合可能なデータを有して が照合可能なデータを有しているかど いるかどうかについて評価する。例えば、 うかに留意する。 住宅地図などの外部情報を用いることによ 照合可能な情報が存在する場合は、容 って、住所から切り出した属性と照合され 易に照合できないレベルまで一般化、 る可能性について評価することなどが該当 カテゴライズ化を行う。 する。 11 個人識別に係るリスク 加工方法 ダイレクトメールや訪問販売等によって、 本人へアプローチされるリスクが大き 本人へアプローチされるリスクは、主に位 い場合は、当該属性を削除する、ある 置に関する情報が該当し、自宅や職場の地 いは一般化を行って、リスクを低減す 域が属性を組み合わせることで絞り込まれ る。 る場合、リスクとして認識する必要がある。 ・ 上記の処理で十分でない場合は、レコ ードのデータを入れ替える(スワッピ ング)、データにノイズを付加すること で、さらに個人の識別リスクを低減す る。9 履歴 一般に識別子又は属性と組み合わされ 履歴は、属性と同様に、置換え、一般 ない限り個人を特定する可能性のない 化、カテゴライズ化、特異値の削除(ト 情報が該当するが、特異な値や傾向か ップ/ボトムコーディング)を行う。 ら個人が識別されたり、長期間あるい は大量のデータの蓄積によって個人の 履歴の蓄積期間、蓄積回数の上限を定 識別性が生じてくる場合があったり、 め、上限を超える場合は、同じ識別子 位置に関する情報を含むことによっ に紐付かないように加工する。 て、本人にアプローチされるリスクが 生じてくる場合があったりする。 特異な値や傾向を持つ履歴は、個人識 別性が高いものとして特異値に係るリ スクとして認識する。例えば、非常に 高額な商品や稀少な商品を購入した場 合の購入履歴などが該当する。 9 一個人に対する長期間のデータ蓄積、 継続的に履歴を提供する場合は、履歴 又は大量のデータ蓄積によって、個人 の期間が重ならないようにする、同じ の識別性が生じる可能性がある場合 個人の履歴を提供しない等によって、 は、データ規模、期間に係るリスクと 履歴の照合ができないように配慮す して認識する。 る。 他にも、摂動化(ランダマイズや乱数加算)といった手法もある。 12 個人識別に係るリスク 加工方法 特に、履歴を継続的に提供する場合、 履歴を照合することで、突合できる場 合も考えられるため、履歴の継続的提 供を想定するユースケースの場合は、 リスクとして認識する。 位置情報に関する情報が、個人を識別 位置情報に関する情報によって、自宅 する可能性のある粒度の場合、位置情 や職場等が判明し、個人が識別される 報に係るリスクとして認識する。例え リスクが明らかな場合は、該当する履 ば、詳細な GPS 情報の履歴を蓄積する 歴を削除する。 と、自宅や職場の場所が識別されるリ スクがある。 13 4. 匿名加工情報の加工の事例 4.1 電力利用データの事例 (1)概要 以下では、電力利用データを事例として匿名加工情報の加工事例を示す。 本事例で取り扱う電力利用データとは、スマートメーター、ネットワーク接続された分 電盤等を通じて取得された、家庭の電力使用量に係る履歴データである。 我が国においては、2024 年度までに家庭の全世帯でスマートメーターが設置されるこ とが予定されており、電力会社やアグリゲーター、HEMS サービサー等は、スマートメ ーター等を通じて電力利用データを取得することが可能となる。 これらの電力利用データは、電力使用状況の見える化による需要家への情報提供、電力 使用パターンを踏まえたより具体的な節電アドバイス、電力利用状況の変化を踏まえた共 働き世帯の子どもや独居老人の見守り、生活様態推計を踏まえたエリアマーケティング等、 多様な用途に活用される可能性がある。 一方で、特異な値や傾向から個人が識別されるリスクも持つため、匿名加工情報への加 工に当たっては一定のリスクアセスメントが必要であると考えられる。 また、スマートメーターの普及や電力利用データのサービスへの活用は、緒に就いたば かりであり、IoT 機器の家庭内への普及や電力小売全面自由化と相まって、今後様々なサ ービスが開発されていくことが想定されるため、その目的や具体的な用途に応じて、匿名 加工情報への加工のあり方も変わりうることに留意が必要である。 14 (2)電力利用データ活用に係るパーソナルデータのサンプルイメージ 本項目で扱う、電力利用データ活用に係る匿名加工情報の作成に用いるパーソナルデー タのサンプルイメージは下記を想定する。 図表 8 電力利用データのサンプルイメージ 基本情報 契約者 ID 氏名 電子 電話 メール 性別 番号 アドレス A12345 野村 太郎 03-2225555 A67890 佐藤 一郎 090-444女性 [email protected] 7777 山田 花子 03-1234567 B12345 識別子 識別情報 abcd@xmail. 男性 com opq@hahoo. 男性 co.jp 住所 生年 郵便 番号 職業 都道 府県 住居情報 アパー 町名・ ト・マン 丁目・ ション・ 番地 ビル 市区 町村 1987 会社員 100-0005 丸の内1- 丸ノ内北 東京都 千代田区 6-5 口ビル 1990 公務員 116-0002 東京都 1968 無職 111-1111 東京都 荒川区 荒川2-3-6 港区 住宅 区分 戸建 住居 形態 核家族 ハイツ荒 マンション 両親同居 川 六本木1- ビバリー六 戸建 2-3 本木 独居 構造 家族情報 竣工年 家族構成(職 家族の 業、生年(西 人数 暦)、性別) 延床 面積 木造 3年 112㎡ 4 RC 25年 85㎡ 2 RC 7年 300㎡ 0 妻(専業主婦、 1986年、女性) 息子(幼稚園、 2011年、男性) 娘(未就学、 2014年、女性) 父(会社員、 1960年、男性) 母(専業主婦、 1962年、女性) - 属性 準識別子 ※住所は全て揃うと識別子 ※住所は全て揃うと識別情報 電力 契約者 ID 年月日・時分 家電 電力使用量 A12345 2015年10月31日 00:00 ○○Wh A12345 2015年10月31日 00:01 A12345 2015年10月31日 00:02 A12345 2015年10月31日 00:03 A12345 2015年10月31日 00:04 識別子 識別情報 履歴 履歴 契約者ID 推定購入年月 推定購入商品 A12345 2015年10月 照明 ○○Wh A12345 2015年10月 エアコン ○○Wh A12345 2015年10月 冷蔵庫 ○○Wh A12345 ・・・ ○○Wh 識別子 識別情報 A12345 準識別子 属性 なお、履歴たる電力利用データについては、その取得のあり方によって、瞬時値(取得 時の瞬間的な電力利用量(kW) )や 30 分値(スマートメーターで標準的に取得可能な 30 分ごとの累計電力使用量(kWh) )など様々である。 (3)具体的な匿名加工情報の作成方法 以上を踏まえて、具体的なサービスを想定した匿名加工情報の作成方法について以下に 示す。 下記はあくまで、仮想的に想定したサービスにおいて、匿名加工のあり方を検討したも のであり、サービスの詳細内容によって、取得するデータの種類や加工のあり方は変わり うることに留意が必要である。 例えば、サービスの内容によって、属性の加工の粒度をより粗くする代わりに長期に亘 る電力利用データを取得したり、電力利用データを時間単位、日単位に置き換える代わり に属性の加工の粒度を細かくしたりといった加工のあり方も考え得る。 15 ⅰ)電力情報見える化サービスにおける電力利用データの活用 <サービス概要> 本サービスは、サービス利用者に対して、家族構成等の属性データが近しい世帯の電力 利用状況を比較して提示することで、サービス利用者の節電を喚起するものである。ラン キング形式で提示することによって、サービス利用者同士が競争し、結果としてより大き な節電効果を上げることも期待される。 図表 9 電力見える化サービス <想定されるリスク> 一般に、履歴たる電力利用データから、生活や家電の利用実態、在/不在情報等を判別 することが可能。このため、個人、世帯が識別されるとプライバシーが脅かされるリスク はある。 また、属性ごとのリスクは下記の通りである。 16 図表 10 属性ごとのリスク また、本サービスにおいては、サービスの性質上、サービス利用者が、自らと属性デー タが類似する世帯の電力使用量を見ることができる。このため、繰り返し同じ世帯が表示 されると個人を識別されるリスクが高まる。 <加工方法の例> 以上を踏まえ、本サービスにおける加工方法としては、例えば以下が想定される。 図表 11 情報分類 対象情報 加工方法 識別子 契約者 ID 加工方法の例 仮 ID(匿名加工情報に付する識別子) に変換する(不可 逆なものとする) 例:秘密の文字列(アグリゲータのみが保有)でパディン グしてハッシュをとる(秘密の文字列を持たないものには 連結不可能にする)。秘密の文字列は 24 ヶ月毎にランダ ム生成する 削除 住所 都道府県、市区町村以外を削除 職業 削除(見える化サービスでは必要性が薄いため) 氏名、電話番 号、メールア ドレス 属性 17 情報分類 対象情報 加工方法 家電情報 削除(見える化サービスでは必要性が薄いため) 家族の人数 1、2、3、4 人以上 家族構成 独居、夫婦のみ、親子、その他(4 区分) 竣工年 5 年未満、5 年以上 10 年未満、10 年以上 20 年未満、20 (4 区分) 年以上 30 年未満、30 年以上 延床面積 20 ㎡未満、20 ㎡以上 40 ㎡未満、40 ㎡以上 80 ㎡未満、80 ㎡以上 構造、住居形 (5 区分) (4 区分) 加工無し 履歴情報については、下記の通り利用期限や特異値につい 態、住居区分 履歴 て配慮した上で利用する。 利用期限を、著しく個人識別性が上昇しない範囲で設 定する。(例:過去 24 ヶ月) 更に、特異値がある等の個人識別性が上昇する可能性 があるデータについては、加工等により個人識別性を 低減させることを考慮する。 また、本サービスにおいては、サービス利用者が自らと似た属性を持つ他の世帯の電力 利用状況を見ることが可能であり、繰り返し同じ世帯が表示されると個人を識別されるリ スクが高まることを踏まえ、顧客に提示される電力利用データが,必ず毎回又は適切な間 隔で、複数の(k 以上の)顧客からランダムに表示されることを保証する必要がある。 なお、この加工を行ったとしても属性の組み合わせにより 個人が特定されるリスクが あるため、次のような加工処理等をすることが考えられる。 HEMS 普及率が著しく高くはなく、かつ外部から HEMS 設置状況が判別できないと いう仮定を置くことができる際には、適切なサンプル抽出(ランダムサンプリング等) がなされていると見なして個人識別性を確認する。 さらに曖昧化を行うなど、個人識別性の低減に寄与する妥当な加工処理をする。 18 ⅱ)電力利用データと家電購買の推計データを用いたエリアマーケティング <サービス概要> 本サービスは、家電の販売者(家電量販店等)が、電力利用データと家電購買に係る推 計データを踏まえて、特定の地域において、ニーズが高いと想定される家電を推計し、折 込チラシやポスティングチラシを送付するサービスである。 図表 12 エリアマーケティングサービス <想定されるリスク> 一般に、履歴たる電力利用データから、生活や家電の利用実態、在/不在情報等を判別 することが可能。このため、個人、世帯が識別されるとプライバシーが脅かされるリスク はある。 また、属性ごとのリスクは下記の通りである。なお、本事例においては、家電に係る情 報をユーザーから取得することとしており、法律上、匿名加工情報取扱事業者として、匿 名加工情報からの個人の識別は禁止されているものの、サービサ(家電量販店等)の持つ データと照合することで個人が特定されるリスクがあると言える。 19 図表 13 属性ごとのリスク <加工方法の例> 以上を踏まえ、本サービスにおける加工方法としては、例えば以下が想定される。 図表 14 情報分類 対象情報 加工方法 識別子 契約者 ID 加工方法の例 仮 ID(匿名加工情報に付する識別子) に変換する(不可 逆なものとする) 例:秘密の文字列(アグリゲータのみが保有)でパディン グしてハッシュをとる(秘密の文字列を持たないものには 連結不可能にする)。秘密の文字列は 12 ヶ月毎にランダ ム生成する 削除 住所 都道府県、市区町村以外を削除(※) 職業 削除(マーケティングでは必要性が薄いため) 家電情報 推定購入年月を削除 利用している家電情報は残す 1、2、3、4 人以上 氏名、電話番 号、メールア ドレス 属性 家族の人数 20 (4 区分) 情報分類 対象情報 加工方法 家族構成 独居、夫婦のみ、親子、その他(4 区分) 竣工年 5 年未満、5 年以上 10 年未満、10 年以上 20 年未満、20 年以上 30 年未満、30 年以上 延床面積 20 ㎡未満、20 ㎡以上 40 ㎡未満、40 ㎡以上 80 ㎡未満、80 ㎡以上 構造、住居区 (5 区分) (4 区分) 加工無し 履歴情報については、下記の通り利用期限や特異値につい 分、住居形態 履歴 て配慮した上で利用する。 利用期限を、著しく個人識別性が上昇しない範囲で設 定する。(例:過去 12 ヶ月) 更に、特異値がある等の個人識別性が上昇する可能性 があるデータについては、加工等により個人識別性を 低減させることを考慮する。 ※ダイレクトメールの送付を考えると町名程度の住所の精度とすることが望ましい。 なお、本事例においては、仮想的に想定したサービス内容にとって必要な部分のみに限 定するため、家電情報については推定購入年月を削除し、利用している家電が分かるのみ の情報にとどめた。 また、この加工を行ったとしても組み合わせにより個人が特定されるリスクが残るため、 次のような加工処理等をすることが考えられる。 HEMS 普及率が著しく高くはなく、かつ外部から HEMS 設置状況が判別できないと いう仮定を置くことができる際には、適切なサンプル抽出(ランダムサンプリング等) がなされていると見なして個人識別性を確認する。 さらに曖昧化を行うことなど、個人識別性の低減に寄与する妥当な加工処理をする。 21 4.2 購買データの事例 本事例では、購買データとして、クレジットカードの所有者情報である「顧客属性情報」 、 クレジットカードの利用に伴って蓄積される購買履歴-である「カード利用明細データ」を 例にしたケースを取り上げる。 カード利用明細データには、利用日や利用加盟店名、支払方法、利用金額が記録されて いるが、購入対象の商品・サービスの具体的な情報は含まれていない。このため、クレジ ットカードのデータのみでは、顧客の商品・サービスに対する嗜好やニーズを十分に把握 することはできない。 一方、加盟店の中には、POS を導入して商品・サービスの売れ行きを把握している者も 多く、POS データとクレジットカードのデータを組み合わせることで、顧客属性を踏まえ た嗜好やニーズの分析が可能になると考えられる。以下では、クレジットカード事業者が、 POS データを取り込んだ上で、匿名加工情報として外部に提供するケースにおける匿名加 工のあり方について示す。 1)ユースケースの明確化 クレジットカード会社が提供する「Web 家計簿サービス」では、サービス利用者がカー ドの自分の属性データや利用明細データを閲覧できることに加え、加盟店の POS データを 取り込むことができ、Web 上で、簡便に家計簿をつけることができる。 本ケースは、この Web 家計簿サービスで管理する情報を、匿名加工情報の枠組みを活用 して、一般事業者へ提供するというものである。 図表 15 Web家計簿サービスの 提供 ケースの全体イメージ クレジットカード事業者 一般事業者 当社とは関係ないメーカー等 Web家計簿 サービス 利用者 ①顧客属性 データ 入会申込書面で取得 本人カード利用により 取得 ②カード利用 明細データ 加工処理 匿名加工 情報 販売 匿名加工 情報 マーケティング 活用 ③加盟店 POSデータ 消費者動向把握 本人加盟店Pos利用により取得 カード利用明細データと加盟店Posデータの 結合データをWeb家計簿に表示 22 本ケースで用いるデータは、①顧客属性データ、②カード利用明細データ、③加盟店 POS データの三種類であり、いずれも契約者 ID(クレカ番号の変換番号)によって、リンクさ れている。なお②カード利用明細データと③加盟店 POS データとは、利用者本人がリンク を許可していることを前提とする。 またデータセットの規模は、100 万件以上(会員数 100 万人、1ヶ月あたりの平均利用 回数:10 回とするとデータ件数は1,000 万超)とする。 図表 16 データのレイアウトサンプル ①顧客属性データ 契約者ID (クレカ番号の 変換番号) 氏名 性別 生年 月日 電話 番号 勤務先 年収 住所 決済金融 機関 郵便 番号 都道 府県 市区 町村 町名・丁 目・番地 アパート・マン ション・ビル 53012602 野村太郎 男性 1987年 10月12日 03-222-5555 AA商事 450万円 みずほ 100-0005 東京都 千代田区 丸の内1-6-5 丸ノ内北口ビル 53597201 山田花子 女性 1990年 5月23日 090-4447777 270万円 三井住友 116-0002 東京都 荒川区 荒川2-3-6 男性 1968年 8月19日 03-123-4567 C区役所 530万円 スルガ 111-1111 東京都 港区 六本木1-2-3 ビバリー六本木 81567824 佐藤一郎 システム的に もともとリンク BB保険 ハイツ荒川 利用者本人が加盟店POSデータのリンクを許可 ②カード利用明細データ ③加盟店POSデータ 契約者ID 利用日 利用加盟店名 支払方法 利用金額 POS番号 利用日 利用加盟店名 利用金額 商品名 53012602 2015年10月15 日 丸の内店 1回 12,000 xxxxx 2015年 10月15日 2015年 10月15日 12,000 AAAAA xxxxx 2015年 10月16日 2015年 10月16日 50,000 BBBBB xxxxx 2015年 10月17日 2015年 10月17日 250,000 CCCCC 53012602 2015年10月16 日 53012602 2015年10月17 日 荒川店 六本木店 2回 5回 50,000 250,000 23 2)識別子、属性、履歴の仕分け データのレイアウトサンプルを基に、識別子、属性、履歴を仕分けした結果を次図に示 す。 住所は全て揃うと識別子となるが、ここでは分割して用いることを念頭に、属性として 分類している。 図表 17 識別子、属性、履歴の仕分け結果 属性 識別子 ※住所は全て揃うと識別子 ①顧客属性データ 契約者ID (クレカ番号の 変換番号) 53012602 氏名 性別 野村太郎 生年 月日 勤務先 年収 決済金融 機関 住所 郵便 番号 都道 府県 市区 町村 町名・丁 目・番地 アパート・マン ション・ビル 男性 1987年 10月12日 03-222-5555 AA商事 450万円 みずほ 100-0005 東京都 千代田区 丸の内1-6-5 丸ノ内北口ビル 090-4447777 270万円 三井住友 116-0002 東京都 荒川区 荒川2-3-6 03-123-4567 C区役所 530万円 スルガ 111-1111 東京都 港区 六本木1-2-3 ビバリー六本木 53597201 山田花子 女性 1990年 5月23日 81567824 佐藤一郎 男性 1968年 8月19日 システム的に もともとリンク 電話 番号 BB保険 ハイツ荒川 利用者本人が加盟店POSデータのリンクを許可 ②カード利用明細データ ③加盟店POSデータ 契約者ID 利用日 利用加盟店名 支払方法 利用金額 POS番号 利用日 利用加盟店名 利用金額 53012602 2015年10月15 日 丸の内店 1回 12,000 xxxxx 2015年 10月15日 2015年 10月15日 12,000 AAAAA 53012602 2015年10月16 日 荒川店 2回 50,000 xxxxx 2015年 10月16日 2015年 10月16日 50,000 BBBBB 53012602 2015年10月17 日 六本木店 5回 250,000 xxxxx 2015年 10月17日 2015年 10月17日 250,000 CCCCC 識別子 履歴 識別子 24 履歴 商品名 3)個人識別に係るリスクの抽出 個人識別に係るリスクとして、以下の4つの観点から抽出した。データの利用や第三者 提供による「不安感(気持ち悪さ) 」は個人差があるため、評価の対象外としている。 (評価対象とする個人識別に係るリスク) ・ 個人が特定されるリスク ・ 個人の属性が推定されるリスク ・ データが他の情報と照合されるリスク ・ データを用いて本人へアプローチされるリスク 抽出した識別子、属性、履歴ごとのリスクは次の通りである。 識別子 ・ 契約者 ID、氏名、電話番号、生年月日は、単体で個人を特定できたり、本人にアクセ スできたりするリスクがある。 ・ 契約者 ID を変換した番号を、固定で管理すると、時間の経過、履歴の積み重ねによっ て、提供先事業者において、個人が特定されるリスクが高まる。一方、ワンタイムとす ると、データの価値が大きく損なわれてしまう。 属性 ・ 住所は全て揃うと単体で個人を特定できたり、本人にアクセスできたりするリスクがあ る。 ・ 年収は、プライバシー性が比較的高い。 ・ 勤務先は、個人が特定されるリスクが比較的高い。 ・ 決済金融機関は、外部観察性は小さいものの、他の情報と組み合わされると個人識別性 が高くまる。 履歴 ・ カード利用明細データは、カード利用頻度の低い加盟店の場合、特定個人の識別性が高 まる。 ・ 加盟店 POS データは、特定の商品の購入日が特定されると、本人が特定されるリスク がある。 25 4)個人識別に係るリスクを踏まえた加工方法の検討 前ステップで抽出したリスクに応じて、検討した加工方法を以下に示す。 識別子 ・ 契約者 ID は、32 ビットの鍵付きハッシュによって変換する。この匿名加工情報に付す る識別子の有効期間は、活用に必要限度の期間とする。例:24 ヶ月 ・ 氏名、電話番号は削除する。 ・ 生年月日は、年代(10 代、20 代、30 代、40 代、50 代、60 代、70 代以上)の 7 区分 にカテゴライズ化する。 ・ 外れ値に該当する利用者の ID は、提供対象から除外する。 例:年間利用金額が極めて大きい、短期間の決済利用回数が極めて多い、極めて高額な 商品を決済した 等。 属性 ・ 住所は、都道府県、市町村を残し、残りを削除する。 ・ 年収は、100-300 万、300-500 万、500-800 万、800 万以上の 4 区分にカテゴライズ化 する。 ・ 勤務先は、カテゴライズ化する。 ・ 加工後の属性は、組み合わせることで個人を識別する可能性があるため、次の方法のい ずれか又は組み合わせて加工処理をする。 方法1:属性全体に対して k-匿名化の加工処理をする。このとき k 値は、データ の特性に鑑みて設定する。 方法2:適切なサンプル抽出をする(※この方法では、k-匿名化はしない) 。 方法3:データのスワッピングを行う。 履歴 ・ 利用日は、利用月単位に曖昧化する。 ・ 利用加盟店名は、カード決済頻度が極めて低いものを削除する。 ・ 年間利用金額が極めて大きい、短期間の決済利用回数が極めて多い契約者の情報を削除 (外れ値処理)する。 26 参考資料1 匿名加工情報の加工方法等に係るワーキンググループ 委員等名簿(敬称略・五十音順) <委員> ◎菊池 浩明 明治大学 総合数理学部 教授 寺田 眞治 株式会社オプト プロジェクトマネージャー 高橋 克巳 NTTセキュアプラットフォーム研究所 主席研究員 佐久間 淳 筑波大学 システム情報工学研究科 准教授 板倉 陽一郎 ひかり総合法律事務所 弁護士 ◎は主査 <オブザーバ> 個人情報保護委員会事務局(平成 28 年 1 月から) 特定個人情報保護委員会事務局総務課(平成 27 年 12 月まで) 内閣官房IT総合戦略室(平成 27 年 12 月まで) 消費者庁消費者制度課個人情報保護推進室 総務省総合通信基盤局電気通信事業部消費者行政課 <事務局> 経済産業省商務情報政策局情報経済課 株式会社野村総合研究所 27 匿名加工情報の加工方法等に係るワーキンググループ 開催概要 第 1 回(2015 年 10 月 8 日(木) ) WG での検討項目について、等 第 2 回(2015 年 10 月 19 日(月) ) ケーススタディ 第 3 回(2015 年 11 月 9 日(月) ) ケーススタディ 第 4 回(2015 年 11 月 25 日(水) ) ケーススタディ 第 5 回(2015 年 12 月 14 日(月) ) ケーススタディ 第 6 回(2015 年 12 月 15 日(火) ) ケーススタディ 第 7 回(2016 年 2 月 2 日(火) ) ケーススタディ、とりまとめ 第 8 回(2016 年 2 月 26 日(金) ) ケーススタディ、とりまとめ 28 参考資料2 匿名加工技術に係る用語説明 図表 18 番号 匿名加工技術に係る用語説明 用語 解説 1 特定 ある情報が誰の情報であるかが分かること 2 識別 ある情報が誰か一人の情報であることが分かること(ある情報が 誰の情報であるかが分かるかは別にして、ある人の情報と別の人 の情報を区別できること) 3 k-匿名化 単独では個人を識別できないが、複数を組み合わせることで個人 を高い確率で識別することが可能な属性(たとえば、 性別、年齢、 居住地、職業等)について、どの属性値の組み合わせでも、対象 とするデータ中に必ず k 件以上存在する状態にすること 4 属性削除 直接個人を特定可能な属性(氏名等)を削除すること 5 仮名化 直接個人を特定可能な属性又はその組み合わせ(氏名・生年月日) を符号や番号等に置き換えること 6 一般化 属性の値を上位の値や概念に置き換えること。例えば、10 歳刻み、 キュウリ→野菜 7 8 9 トップ(ボトム) 数値属性に対して、特に大きい、もしくは小さい属性値をまとめ コーディング ること。例えば、100 歳以上の人を「100 歳以上」とする ノイズ(誤差)の 数値属性に対して、一定の分布に従った乱数的なノイズを加える 付加 こと スワッピング(デ カテゴリ属性に対して、レコード間で属性値を(確率的に)入れ ータ交換) 替えること データスワップとも呼ぶ 10 11 レコード(行)削 特に大きい等、特殊な属性(値)を持つレコードを削除する。例 除 えば、120 歳以上のレコードは削除すること セル削除 センシティブな属性値等、分析に用いるべきではない属性値を削 除すること 12 サンプリング 元データ全体から一定の割合・個数でランダムに抽出すること 出所)1、2、3、4、6、8、9、10:内閣官房「技術検討ワーキンググループ報告書」(平成 25 年 12 月 10 日)を基に作成 5、7、9:内閣官房「技術検討ワーキンググループ報告書」 (第 13 回パーソナルデータに関 する検討会配布資料(平成 25 年 12 月 10 日))、 「匿名化技術の現状について」 (パーソナル データに関する検討会 第 1 回技術検討ワーキンググループ 高橋構成員提出資料(平成 25 年 9 月 27 日) )を基に作成 29